一个简单的安全漏洞如何成为大学校园的“万能钥匙”

当 Erik Johnson 无法让他所在大学的移动学生 ID 应用程序可靠运行时,他试图找到一种解决方法。

该应用程序相当重要,因为它允许他和他大学的所有其他学生支付餐费、参加活动,甚至打开宿舍、实验室和校园内其他设施的门。该应用程序名为 GET Mobile,由 CBORD 开发,CBORD 是一家为医院和大学提供访问控制和支付系统的技术公司。但约翰逊——以及许多失望地给这款应用留下一星评价的人——表示,这款应用速度很慢,加载时间太长。必须有更好的方法。

一个简单的安全漏洞如何成为大学校园的“万能钥匙”
一个简单的安全漏洞如何成为大学校园的“万能钥匙”

因此,通过在打开宿舍门的同时分析应用程序的网络数据,约翰逊找到了一种方法来复制网络请求并通过使用 iPhone 上的一键式快捷按钮解锁门。要使其工作,快捷方式必须首先发送他的精确位置以及门解锁请求,否则他的门将无法打开。约翰逊说,作为一项安全措施,学生必须在身体附近才能使用该应用程序解锁门,这被视为旨在防止校园内意外开门的措施。

它奏效了,但为什么要停在那里?如果他可以在不需要应用程序的情况下解锁一扇门,他还能复制哪些其他任务?

约翰逊不必费力寻求帮助。 CBORD 发布了通过其 API 可用的命令列表,可以使用学生的凭据进行控制,例如他的。 (API 允许两件事情通过互联网相互交谈,在本例中是一个移动应用程序和一所大学的存储学生数据的服务器。)

但他很快发现了一个问题:API 没有检查学生的凭证是否有效。这意味着约翰逊或互联网上的任何其他人都可以与 API 通信并接管另一个学生的帐户,而无需知道他们的密码。约翰逊说,API 只检查学生的唯一 ID,但警告说这些有时与大学颁发的学生用户名或学生 ID 号相同,一些学校在其在线学生目录中公开列出,因此不能被视为秘密.

约翰逊将密码漏洞描述为他所在大学的“万能钥匙”——至少对 CBORD 控制的门来说是这样。至于需要靠近门才能解锁,Johnson 说这个漏洞让他可以欺骗 API,让他认为他真的在场——只需发回锁本身的大致坐标即可。

由于在 API 中发现了这个漏洞,约翰逊说这个漏洞可能会影响其他大学,尽管他没有检查自己是否正确,担心这会超出他的帐户访问权限。相反,他想方设法将漏洞报告给 CBORD,但在其网站上找不到专门的安全电子邮件。他拨打了电话支持热线以披露该漏洞,但支持代表表示他们没有安全联系人,并被告知通过他的学校报告该漏洞。

假设这个漏洞很容易被利用(如果还没有的话),Johnson 要求 TechCrunch 与 CBORD 分享漏洞的详细信息。

在我们于 2 月 12 日联系该公司后不久,该漏洞得到了解决。在一封电子邮件中,CBORD 首席信息官 Josh Elder 确认该漏洞现已修复,会话密钥已失效,有效地关闭了任何剩余的未经身份验证的 API 访问。 Elder 表示 CBORD 的客户已收到通知,但 Elder 拒绝与 TechCrunch 分享通信。一位同时也是 CBORD 客户的安全主管告诉 TechCrunch,他们没有收到 CBORD 关于该漏洞的任何通知。目前尚不清楚 CBORD 是否计划通知用户和账户持有人——包括像约翰逊这样的学生。

埃尔德没有对约翰逊的调查结果提出异议,但当被问及该公司是否存储日志或有能力检测对其 API 的恶意利用时,他拒绝进一步置评。在我们要求与公司发言人交谈以回答我们进一步的问题后,TechCrunch 没有收到回复。

这不是 CBORD 第一次不得不修复一个可以远程解锁门的漏洞。 《连线》杂志在 2009 年报道说,拦截开门命令并猜测下一个序列号是可能的,无需身份证。

本条目发布于。属于热搜分类,被贴了 标签。作者是

关于有个狸

2005年开始的一名站长,从事网站策划、运营,早期一批扎根阿里妈妈、Google Adsense的一员,目前司职前端与产品设计。

发表回复