Uber chowa mnożniki, ale luka w aplikacji umożliwia darmowe przejazdy

Bohaterem pierwszej historii jest Egipcjanin, Mohamed M. Fouad, określający siebie mianem niezależnego eksperta ds. bezpieczeństwa. Pracował on między innymi z Microsoftem, ESET-em czy BitDefenderem. Fouad opublikował na swoim blogu wpis, w którym opisuje sposób na wykorzystanie luki w aplikacji w celu zagwarantowania sobie przejazdów o wartości nawet… 25 tys. dolarów.

Jest to możliwe z wykorzystaniem kodów rabatowych. Każdy użytkownik utrzymuje taki kod, a gdy się nim podzieli, to sam otrzymuje nawet 45 zł na przejazdy w prezencie. Ponadto również pierwszy przejazd osoby, która otrzymała kod jest promocyjny. Struktura kodu prezentuje się następująco: uber01234. Taki sposób generowania, jak twierdzi Fouad, nie został zabezpieczony przed atakiem brute force.

A to oznacza, że można napisać generator kodów i w zautomatyzowanym procesie walidować je. Po przeprowadzonym przez Egipcjanina eksperymencie okazało się, że jego program wygenerował kilka poprawnych kodów, których wartość osiągała aż od 5 do 25 tysięcy dolarów! Jak przystało na białokapelusznika, Fouad poinformował Ubera o sprawie…

…i zapewnie nie lada zdziwił się, gdy okazało się, że nie jest on pierwszą osobą, która zgłosiła wspomnianą podatność. Wszyscy jednak otrzymali równie zaskakującą odpowiedź od Ubera w postaci odmowy rozpatrzenia zgłoszenia błędu. Według programistów, podatność ma bowiem charakter oszustwa, a nie nieodpowiednich zabezpieczeń generatora kodu przed atakiem brute force.

Nie mniej interesujące informacje dochodzą zza Oceanu, gdzie – jak wiadomo – wszelkie nowości w Uberze trafiają jako pierwsze. Otóż wygląda na to, że korporacja przyjęła bardzo odważne założenie, które można interpretować jako maskowanie przed użytkownikiem sposobu, w jaki obliczana jest opłata za przejazd.

Jak pisze The Verge, w Uberze na tapecie jest w tej chwili slogan „brak matmy, brak kłopotów”. W związku z tym, po zamówieniu przejazdu, użytkownik otrzyma przewidywaną jego cenę, jednak nie zostanie poinformowany o mnożnikach. Widoczny będzie jedynie komunikat podwyższone zapotrzebowanie.

Jak wiadomo, obliczanie opłat za przejazd Uberem jest kwestią dynamiczną i podlega wielu czynnikom: jest to między innymi stan naładowania akumulatora w smartfonie (zdesperowany będzie gotowy zapłacić więcej). Ponadto dochodzi tutaj aspekt psychologiczny – reprezentacja mnożnika zawsze w postaci ułamka sprawia wrażenie efektu działania zaawansowanego algorytmu.

W Stanach Zjednoczonych testowany jest jednak jeszcze ciekawszy zabieg psychologiczny – rzeczone informacje o przewidywanej cenie w ogóle będą pozbawione wzmianek o mnożnikach, a użytkownik zobaczy tylko iloczyn. Być może przyjęte założenie „mniej matmy, mniej kłopotów” należałoby zamienić na „czego oczy nie widzą, tego sercu nie żal?”