Uber chowa mnożniki, ale luka w aplikacji umożliwia darmowe przejazdy

Uber chowa mnożniki, ale luka w aplikacji umożliwia darmowe przejazdy

Uber chowa mnożniki, ale luka w aplikacji umożliwia darmowe przejazdy
24.06.2016 15:22

Można było się spodziewać, że wraz z popularyzacją Ubera, znajdą się chętni by nieco nagiąć zasady korzystania z usługi. Na przykład dzięki podatnościom oficjalnej aplikacji mobilnej. Z drugiej strony sam Uber nie pozostaje dłużny swoim klientom i z dużym dystansem zaczyna podchodzić do zagadnienia transparentności naliczania opłat.

Keygen do Ubera

Bohaterem pierwszej historii jest Egipcjanin, Mohamed M. Fouad, określający siebie mianem niezależnego eksperta ds. bezpieczeństwa. Pracował on między innymi z Microsoftem, ESET-em czy BitDefenderem. Fouad opublikował na swoim blogu wpis, w którym opisuje sposób na wykorzystanie luki w aplikacji w celu zagwarantowania sobie przejazdów o wartości nawet… 25 tys. dolarów.

Jest to możliwe z wykorzystaniem kodów rabatowych. Każdy użytkownik utrzymuje taki kod, a gdy się nim podzieli, to sam otrzymuje nawet 45 zł na przejazdy w prezencie. Ponadto również pierwszy przejazd osoby, która otrzymała kod jest promocyjny. Struktura kodu prezentuje się następująco: uber01234. Taki sposób generowania, jak twierdzi Fouad, nie został zabezpieczony przed atakiem brute force.

Uber Promo-Codes brute-force Vulnerability

A to oznacza, że można napisać generator kodów i w zautomatyzowanym procesie walidować je. Po przeprowadzonym przez Egipcjanina eksperymencie okazało się, że jego program wygenerował kilka poprawnych kodów, których wartość osiągała aż od 5 do 25 tysięcy dolarów! Jak przystało na białokapelusznika, Fouad poinformował Ubera o sprawie…

…i zapewnie nie lada zdziwił się, gdy okazało się, że nie jest on pierwszą osobą, która zgłosiła wspomnianą podatność. Wszyscy jednak otrzymali równie zaskakującą odpowiedź od Ubera w postaci odmowy rozpatrzenia zgłoszenia błędu. Według programistów, podatność ma bowiem charakter oszustwa, a nie nieodpowiednich zabezpieczeń generatora kodu przed atakiem brute force.

No math, no problem

Nie mniej interesujące informacje dochodzą zza Oceanu, gdzie – jak wiadomo – wszelkie nowości w Uberze trafiają jako pierwsze. Otóż wygląda na to, że korporacja przyjęła bardzo odważne założenie, które można interpretować jako maskowanie przed użytkownikiem sposobu, w jaki obliczana jest opłata za przejazd.

Jak pisze The Verge, w Uberze na tapecie jest w tej chwili slogan „brak matmy, brak kłopotów”. W związku z tym, po zamówieniu przejazdu, użytkownik otrzyma przewidywaną jego cenę, jednak nie zostanie poinformowany o mnożnikach. Widoczny będzie jedynie komunikat podwyższone zapotrzebowanie.

Obraz

Jak wiadomo, obliczanie opłat za przejazd Uberem jest kwestią dynamiczną i podlega wielu czynnikom: jest to między innymi stan naładowania akumulatora w smartfonie (zdesperowany będzie gotowy zapłacić więcej). Ponadto dochodzi tutaj aspekt psychologiczny – reprezentacja mnożnika zawsze w postaci ułamka sprawia wrażenie efektu działania zaawansowanego algorytmu.

W Stanach Zjednoczonych testowany jest jednak jeszcze ciekawszy zabieg psychologiczny – rzeczone informacje o przewidywanej cenie w ogóle będą pozbawione wzmianek o mnożnikach, a użytkownik zobaczy tylko iloczyn. Być może przyjęte założenie „mniej matmy, mniej kłopotów” należałoby zamienić na „czego oczy nie widzą, tego sercu nie żal?”

Programy

Zobacz więcej
Źródło artykułu:www.dobreprogramy.pl
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (20)