Hacker invade aplicativo de cervejas para conseguir bebida grátis. |
Sentar em um bar e abrir uma cerveja gelada após uma jornada de trabalho é sempre um momento gratificante. Melhor ainda se essa cerveja for oferecida gratuitamente, não é mesmo? Pois foi com esse pensamento que Kuba Gretzky, um engenheiro e desenvolvedor de software polonês, decidiu invadir um aplicativo que funciona como programa de fidelidade que dá direito a cervejas grátis em diversos bares de sua cidade. Logo que ficou sabendo da chegada do aplicativo, Gretzky pensou “como será que é a segurança deles?” e, ao dar aquela “fuçadinha” básica, descobriu que seus desenvolvedores não planejaram lá muito bem a proteção dos dados do aplicativo. Gretzky, que não quis divulgar o nome do app para não incentivar outras pessoas a fazer o mesmo que ele, descobriu que o software funciona em conjunto com um beacon Bluetooth e foi a partir daí que começou a invasão. Beacon é um codinome para a tecnologia de “indoor proximity system”, ou “sistema de proximidade em ambientes fechados”, e, na prática, permite localizar objetos ou pessoas portando tais objetos com mais precisão dentro de ambientes fechados. Então, em bares e restaurantes, por exemplo, onde o sinal de GPS costuma ficar mais fraco, os beacons são uma solução relativamente barata e eficiente para fazer essa conexão entre os frequentadores e sistemas como o do app de cervejas invadido por Gretzky. O beacon Bluetooth localizado pelo hacker pôde ser detectado a 70 metros de distância, e isso permitiu o uso do software Fiddler para inspecionar aquele tráfego. Foi então que o desenvolvedor conseguiu manipular os dados do tal aplicativo, obtendo sucesso na hora de dar a ele mesmo os pontos necessários para conseguir umas cervejinhas “na faixa” em qualquer estabelecimento que escolhesse. Gretzky publicou em seu blog todas as informações sobre como conseguiu hackear o aplicativo, ensinando até mesmo um passo a passo de seu feito. Contudo, sua intenção não é propagar a invasão de sistemas e aplicativos: ele disse que fez o que fez tudo em nome da segurança. Dessa forma, os desenvolvedores de aplicativos que usam esse tipo de tecnologia podem se preparar melhor em novas atualizações, evitando que hackers como ele consigam manipular o sistema a seu favor.
Fonte: Canaltech