Hirdetés

Durva hibát kellett javítani az Uber alkalmazásában

Egy igen egyszerű beavatkozással ingyen lehetett utazni az Uber partnereivel.

Az egyéb botrányok miatt is komolyan célkeresztbe került Uber most újabb presztízsveszteséget volt kénytelen elszenvedni: egy ismert hibavadász biztonsági kutató rést talált az alkalmazásukban, mely lehetővé tette a felhasználók számára, hogy fizetés nélkül vegyék igénybe a szolgáltatást – a hibát már javították, a szakember csak az után számolt be sérülékenységről, hogy az Uber a figyelmeztetése után frissítette a szoftvert.

Anand Prakash rövid blogbejegyzésben ismertette a hibát, mely valójában igen egyszerű sebezhetőség volt: az Uber felhasználójának az utazás előtt meg kell adnia, hogy milyen módon kíván fizetni, ám ha az illető létrehozott egy olyan fiókot, ahol érvénytelen adatokat adott meg payment_method_id-nál (pl. „xyz”), akkor úgy tudott utazni, hogy nem kellett fizetnie:

Hirdetés

POST /api/dial/v2/requests HTTP/1.1

Host: dial.uber.com

{"start_latitude":12.925151699999999,"start_longitude":77.6657536,
"product_id":"db6779d6-d8da-479f-8ac7-8068f4dade6f","payment_method_id":"xyz"}

Prakash készített egy proof-of concept videót is, és leírta, hogy Indiában és az USA-ban is kipróbálta, és működött.

smert

A sérülékenységet jelezte az Uber hibabejelentő programjában, és ők gyorsan kijavították – ezért a szakember köszönetet is mond –, a bejelentésért pedig 900 dollár fizettek.

Hirdetés

  • Kapcsolódó cégek:
  • Uber

Azóta történt

Előzmények