DEFECTOS DE SEGURIDAD EN LAS APLICACIONES UBER

Los investigadores descubrieron más de una docena de defectos en Uber aplicaciones y sitios web, muchos de ellos permiten a los hackers el acceso del conductor y del pasajero información

Los expertos en seguridad han encontrado más de una docena de fallas en la página web de Uber que podrían ser explotadas por los hackers para acceder a los datos del conductor y del pasajero. Los investigadores descubrieron un total de 14 errores de seguridad, cuatro de los cuales no pueden ser revelados.

Una de las vulnerabilidades existe en los códigos de promoción, la página web riders.uber.com no puso en práctica mecanismos de seguridad para derrotar a los ataques de fuerza bruta, permitiendo a los atacantes tratan todas las combinaciones posibles de cadenas hasta que los códigos de promoción no han sido descubiertos.

Los investigadores también encontraron una ERH código de $100 que podría ser aplicado en la parte superior de los otros códigos promocionales.

Uber también le da una opción de personalizar los códigos de promoción, y dado que todos los códigos predeterminados comenzaron con la palabra "súper", fue posible dejar caer el momento de la fuerza bruta permitiendo considerablemente nosotros encontrar más de 1000 códigos válidos

Los investigadores también descubrieron un problema de seguridad que reside en la aplicación Uber, en particular en la función que permite a los clientes Uber dividir la tarifa con otros clientes.

Los expertos descubrieron que la respuesta enviada por Uber cuando los usuarios solicitan para dividir la tarifa contiene los identificadores únicos (UUID) de el conductor y el pasajero. Los investigadores utilizaron el UUID para obtener la dirección de correo electrónico apalancamiento privada del usuario asociado a las solicitudes realizadas a los servidores de Uber a través de la función de ayuda en práctica en la aplicación de Uber.

Otro problema encontrado por la investigación es la posibilidad de utilizar el Uber Socio / controlador de la Aplicación sin ser activado. Normalmente, incluso si los usuarios a crear la cuenta de un conductor, no permanece activado hasta Uber completa el procedimiento de verificación que incluye el examen de los documentos del conductor.

Los usuarios pueden utilizar la aplicación móvil después de que su cuenta está validada por la empresa el valor de la variable llamada "isActivated" se establece en "true. Se ha descubierto que los atacantes pueden cambiar el valor de la variable para permitirles el acceso a la aplicación, una vez dentro de la aplicación que podían ver información del conductor (nombre, matrícula, e información sobre el último pasajero y su viaje) simplemente por conocer UUID del conductor del objetivo. El UUID se puede obtener mediante la solicitud de un coche y luego cancelar la orden - el UUID se incluye en la solicitud.

¿Cómo descubrir el UUID de un conductor?

Solicitar un coche y luego cancelar el pedido. El UUID es uno de los campos en la solicitud.

Entre el momento no emitidas que muestran, existe la posibilidad de acceder a la ruta completa del viaje del conductor.

El conocimiento de la UUID podría ser también explotado por los hackers para hacerse pasar por un usuario para acceder a su lista de viajes, incluyendo la ruta, los datos del conductor, el costo y ubicaciones.

Fecha actualización el 2016-6-26. Fecha publicación el . Fuente: securityaffairs Categoría: Seguridad. Autor: Versión Movil
Seguridad