Uma falha no GET Mobile, um aplicativo para pagamento de despesas e controle de acesso em universidades e hospitais, permitiu que um estudante conseguisse utilizá-lo para abrir as portas de todos os apartamentos da moradia estudantil de sua universidade. O aplicativo, desenvolvido pela empresa CBORD, é utilizado em 432 organizações americanas, entre hospitais e universidades. No entanto, uma queixa geral dos alunos é de que seu funcionamento é lento. A falha foi descoberta pelo estudante Erik Johnson, cuja universidade não foi declarada pela mídia, ao tentar melhorar o desempenho do aplicativo.
Veja isso
App de fechaduras Yale cai e bloqueia casas
Casas inteligentes: 66% com roteador vulnerável
O aplicativo é bastante importante, pois permite que ele e todos os outros alunos de sua universidade paguem refeições, participem de eventos e até destranquem as portas dos dormitórios, laboratórios e outras instalações do campus. O aplicativo, portanto, faz o papel de uma espécie de carteira eletrônica.
Analisando o tráfego de rede do aplicativo no momento em que destrancava a porta do seu quarto, Johnson encontrou uma maneira de replicar essa solicitação de rede usando um botão de atalho de um toque no seu iPhone. Para que o atalho funcionasse, era preciso enviar antes sua localização precisa junto com a solicitação de desbloqueio da porta ou a porta não abriria. Johnson disse que, como medida de segurança, os alunos devem estar fisicamente próximos para destravar as portas usando o aplicativo, o que é visto como uma medida destinada a evitar aberturas acidentais de portas no campus.
O CBORD havia publicado uma lista de comandos disponíveis por meio de sua API, os quais os alunos podem controlar com suas credenciais. No entanto, havia aí um problema: a API não autenticava as credenciais. Em outras palavras, Johnson ou qualquer outra pessoa com conexão à Internet poderia se comunicar com a API e usar a conta de outra pessoa sem nem mesmo saber sua senha. A API verifica apenas o ID exclusivo do aluno, mas essa credencial geralmente corresponde ao ID publicado pela universidade publicado em listas públicas.
Embora o aluno devesse estar perto da porta para que ela se abrisse, Johnson conseguiu enganar a API para fazê-la “pensar” que ele estava por perto. Para fazer isso, ele simplesmente enviou de volta as coordenadas aproximadas da própria fechadura.
Johnson tentou relatar a vulnerabilidade ao CBORD, mas os representantes do CBORD pediram que ele relatasse o problema por meio da universidade. No entanto, como a vulnerabilidade é muito fácil de explorar, o aluno entrou em contato com o TechCrunch com um pedido para falar com o CBORD novamente. O problema foi corrigido em 12 de fevereiro, quase imediatamente após a publicação entrar em contato com o desenvolvedor.
Com agências de notícias internacionais
