Un hacker polaco descubre cómo servir cerveza sin pagar

Un hacker polaco descubrió un defecto en una solicitud de cupón que le permitía obtener unas cervezas servidas sin pagar nada. El fallo de seguridad proviene de una inocente aplicación de cupones Android que permite a sus usuarios obtener muchas cosas gratis. ¡Inteligente! ¡Inteligente!

Kuba Gretzky secuestró una solicitud de cupón para disfrutar de unas cervezas gratis. Este ingeniero de seguridad polaco se dio cuenta de que podía aprovechar la baja seguridad de una solicitud de cupón androide para beber cerveza sin pagar.

Su hackeo es terriblemente efectivo. Desarrolló una aplicación interna para su smartphone Android. Intercepta en un radio de 70 metros la firma de los cupones utilizados con esta aplicación. Como estos cupones no están codificados, pueden ser reproducidos indefinidamente. Para conseguir cervezas gratis, sin que el servidor se dé cuenta. Y cualquier otra cosa.

Obviamente, en buena White Hat , reportó la falla a Estimote, la compañía detrás de la API. También explicó en detalle en su blog cómo reproducir la hazaña. Pero también cómo los desarrolladores podrían proteger mejor sus aplicaciones. Él eligió no nombrar la aplicación que usaba para beber cerveza por el ojo, para evitar que todo el mundo se apresurara demasiado en su truco, podemos imaginarlo!

Cuando la seguridad de las aplicaciones sin contacto titubean

Lo que Kuba Gretzky encontró extraordinario fue que un sistema capaz de transmitir datos dentro de un radio de diálogo de 70 metros «en claro». El hacker muestra que incluso una aplicación tan inofensiva puede ser fácilmente secuestrada por personas inteligentes para obtener una ventaja (en este caso, perder dinero en un bar).

  • También: un defecto similar permite robar millones de vehículos Volkswagen

El CEO de Estimote habló en persona en el blog del hacker para agradecerle por «no contribuir a una Internet de las cosas más segura». Y devuelve el fallo de la ausencia de cifrado en la aplicación de cupón en cuestión a su desarrollador. Esperamos que hayan encontrado esta entrada en el blog para actualizar rápidamente su aplicación (o no)!

Contenido relacionado

Categorías Seguridad

Deja un comentario