"1"

На сторінках свого блогу незалежний індійський дослідник Ананд Пракаш розповів про цікавий баг в додатку Uber. Проблема дозволяла користуватися послугами сервісу абсолютно безкоштовно і, за словами дослідника, працювала як в США, так і в Індії.

Пракаш пояснює, що все починається відразу після завантаження програми, коли користувач повинен вибрати спосіб оплати, прив’язавши до акаунту банківську карту або вибравши оплату готівкою. Пракаш виявив, що можна створити обліковий запис і встановити для нього некоректний спосіб оплати, після чого всі поїздки стануть безкоштовними.

Експлоїт, використаний Пракашем, можна побачити нижче. Вся справа в підміні ID способу оплати (payment_method_id) в запиті на хаотичне нагромадження символів, в даному випадку – «xyz».

POST /api/dial/v2/requests HTTP/1.1

Host: dial.uber.com

{«Start_latitude»:12.925151699999999,»start_longitude»:77.6657536,

«Product_id»:»db6779d6-d8da-479f-8ac7-8068f4dade6f»,»payment_method_id»: »xyz»}

Також дослідник продемонстрував proof-of-concept атаки на відео.

Пракаш повідомив про проблему розробникам Uber, скориставшись bug bounty програмою компанії на HackerOne. На даний момент проблема вже усунена. За інформацією видання TechCrunch, вразливість принесла досліднику винагороду в розмірі $5000.

Вам також цікаво буде дізнатися про те, що «розумні» м’які іграшки злили дані 800 тисяч користувачів.

Коментарі закрито.

Поділитися

Утилиты. S-Presso – все лучшее из соц сетей

Социальные сети уже давно стали неотъемлемой частью нашей повседневной жизни. Некоторые, особенно активные пользователи предпочитают социальные сети различным тематическим порталам, в том числе новостным, музыкальным и спортивным. Это стало возможным благодаря появлению различных групп и публичных страниц, которые специализируются на информации определенного типа. Для полного комфорта пользователей осталось немного, а именно создать удобный доступ к […]

Невдоволений функціями нового смартфону iPhone 6S китайський юрист звинуватив Apple в обмані

Один із китайських юристів виявився незадоволеним новими функціями смартфону iPhone 6S та подав в суд на «яблучну» корпорацію, звинувативши її в тому, що вона вводить в оману користувачів рекламою свого продукту. Про це повідомили журналісти відомого в Китаї видання Сіньхуа. Юрист з міста Гуанчжоу придбав собі версію смартфону iPhone 6S на 128 Гб за 1075 […]

Як зламати iPhone за допомогою зубної пасти і пластиліну

Мова про Touch ID, зрозуміло. Як з’ясували експерти з безпеки, сканер відбитків пальців Touch ID можна запросто обдурити, використовуючи звичайний пластилін. В даному випадку Play-Doh від Hasbro. Свій спосіб співробітники фірми Vkansee показали публіці Всесвітнього мобільного конгресу в Барселоні. Спочатку за допомогою звичайної зубної пасти відбиток зняли з пальця власника смартфона. Дали йому застигнути. Як […]