Прошлым летом ИБ-эксперт Ренди Вестергрен (Randy Westergren) попытался разобраться, каким образом работает контроль систем подсветки рекламных билбордов. Он обнаружил приложение SmartLink, которое используется для мониторинга этих систем и управления ими. Приложение создано компанией OutdoorLink, которая предоставляет рекламным компаниям услуги по контролю над потреблением энергии. Вестергрен пришел к выводу, что SmartLink сложно назвать защищенным инструментом.

Приложение компании OutdoorLink было скачано более 50 000 раз, то есть оно пользуется определенной популярностью в узких кругах. Проведя анализ приложения, исследователь выяснил, что механизм аутентификации пользователя можно с легкостью обойти. А это позволит атакующему получить доступ к данным клиентов SmartLink.

Также Вестергрен обнаружил, что мобильное API использует для передачи данных HTTP, так что вся информация в принципе находится под угрозой. Потенциальный хакер с легкостью может осуществить атаку типа man-in-the-middle. Более того, одна из доступных директорий содержит файлы с исходным кодом самого API и логи, в которых хранятся все данные о сеансах пользователя, включая его логины и пароли в виде простого текста.

«Похоже, компания OutdoorLink нарушила все возможные правила безопасности и оставила своих клиентов беззащитными перед лицом атак. Хакер легко может реализовать собственный «adblock для шоссе», отключив подсветку рекламных щитов в системе», — пишет Вестергрен в своем блоге.

Исследователь сообщил OutdoorLink о проблеме еще в июле 2015 года, и исправления были выпущены в несколько этапов, в последующие несколько месяцев. Проблему с HTTP устранили в середине августа, SmartLink для Android исправили в конце августа. Исправленная версия приложения SmartLink для iOS появилась а App Store только в начале ноября текущего года.

Компания поблагодарила Вестергрена за проделанную работу и сообщила, что фактических случаев эксплуатации брешей замечено не было. Также представители OutdoorLink подчеркивают, что проблемы не коснулись веб-сайта компании, а именно сайт выступает основным интерфейсом для работы с системой SmartLink.



1 комментарий

  1. Jeffrey Davis

    03.12.2015 at 11:18

Оставить мнение