На страницах своего блога независимый индийский исследователь Ананд Пракаш (Anand Prakash) рассказал об интересном баге в приложении Uber. Проблема позволяла пользоваться услугами сервиса абсолютно бесплатно и, по словам исследователя, работала как в США, так и в Индии.

Пракаш объясняет, что все начинается сразу после загрузки приложения, когда пользователь должен выбрать способ оплаты, привязав к аккаунту банковскую карту или выбрав оплату наличными. Пракаш обнаружил, что можно создать аккаунт и установить для него некорректный способ оплаты, после чего все поездки станут бесплатными.

Эксплоит, использованный Пракашем, можно увидеть ниже. Всё дело в подмене ID способа оплаты (payment_method_id) в запросе на случайное сочетание символов, в данном случае – «xyz».

POST /api/dial/v2/requests HTTP/1.1

Host: dial.uber.com

{«start_latitude»:12.925151699999999,»start_longitude»:77.6657536,

«product_id»:»db6779d6-d8da-479f-8ac7-8068f4dade6f»,»payment_method_id»:»xyz»}

Также исследователь продемонстрировал proof-of-concept атаки на видео.

Пракаш сообщил о проблеме разработчикам Uber, воспользовавшись bug bounty программой компании на HackerOne. В настоящий момент проблема уже устранена. По информации издания TechCrunch, уязвимость принесла исследователю вознаграждение в размере $5000.



Оставить мнение