Aplicativo com bug abria todas as portas de universidade

Da Redação
07/03/2022

Uma falha no GET Mobile, um aplicativo para pagamento de despesas e controle de acesso em universidades e hospitais, permitiu que um estudante conseguisse utilizá-lo para abrir as portas de todos os apartamentos da moradia estudantil de sua universidade. O aplicativo, desenvolvido pela empresa CBORD, é utilizado em 432 organizações americanas, entre hospitais e universidades. No entanto, uma queixa geral dos alunos é de que seu funcionamento é lento. A falha foi descoberta pelo estudante Erik Johnson, cuja universidade não foi declarada pela mídia, ao tentar melhorar o desempenho do aplicativo.

Veja isso
App de fechaduras Yale cai e bloqueia casas
Casas inteligentes: 66% com roteador vulnerável

O aplicativo é bastante importante, pois permite que ele e todos os outros alunos de sua universidade paguem refeições, participem de eventos e até destranquem as portas dos dormitórios, laboratórios e outras instalações do campus. O aplicativo, portanto, faz o papel de uma espécie de carteira eletrônica.

Analisando o tráfego de rede do aplicativo no momento em que destrancava a porta do seu quarto, Johnson encontrou uma maneira de replicar essa solicitação de rede usando um botão de atalho de um toque no seu iPhone. Para que o atalho funcionasse, era preciso enviar antes sua localização precisa junto com a solicitação de desbloqueio da porta ou a porta não abriria. Johnson disse que, como medida de segurança, os alunos devem estar fisicamente próximos para destravar as portas usando o aplicativo, o que é visto como uma medida destinada a evitar aberturas acidentais de portas no campus.

O CBORD havia publicado uma lista de comandos disponíveis por meio de sua API, os quais os alunos podem controlar com suas credenciais. No entanto, havia aí um problema: a API não autenticava as credenciais. Em outras palavras, Johnson ou qualquer outra pessoa com conexão à Internet poderia se comunicar com a API e usar a conta de outra pessoa sem nem mesmo saber sua senha. A API verifica apenas o ID exclusivo do aluno, mas essa credencial geralmente corresponde ao ID publicado pela universidade publicado em listas públicas.

Embora o aluno devesse estar perto da porta para que ela se abrisse, Johnson conseguiu enganar a API para fazê-la “pensar” que ele estava por perto. Para fazer isso, ele simplesmente enviou de volta as coordenadas aproximadas da própria fechadura.

Johnson tentou relatar a vulnerabilidade ao CBORD, mas os representantes do CBORD pediram que ele relatasse o problema por meio da universidade. No entanto, como a vulnerabilidade é muito fácil de explorar, o aluno entrou em contato com o TechCrunch com um pedido para falar com o CBORD novamente. O problema foi corrigido em 12 de fevereiro, quase imediatamente após a publicação entrar em contato com o desenvolvedor.

Com agências de notícias internacionais

Compartilhar: