Cum am spart aparatele moderne de vending

author
4 minutes, 43 seconds Read
Inițial publicat de Matteo Pisani pe 10 octombrie 2018 192,920 de citiri

„Lovind și lovind” Aplicația la pachet a celei mai largi companii europene de distribuție a acestora.

PREFAȚA

Indiscutabil, Automatele Vending sunt obiecte de cult. Bucatele delicioase ale Hackerilor, întotdeauna. La început au funcționat offline doar cu monede, apoi, au început să se răspândească modelele NFC- chei/carduri. Dacă spun „COGES”, sunt sigur că cuiva îi vor veni în minte vremuri mai bune. Dar… În câțiva ani lucrurile s-au schimbat radical. Te distragi și, la o clipă după, găsești lumea depășită de lucruri conectate la internet…

STORY

Într-o zi am decis să întrerup asezonarea în bat-caverna și să mă îndrept spre orașul meu natal pentru a lua un pic de soare, așa că m-am dus la Universitate să salut un profesor bătrân.

„Du-te să bei o cafea!” – a spus el- și am început să pălăvrăgim în timp ce mergeam pe coridorul principal.

După ce am ajuns…

Eu: „lasă-mă să plătesc, am monede!”.
El: „stai stai stai! lasă-mă să folosesc aplicația aparatului de vending pentru a plăti, cafeaua va fi mai ieftină”.

BLE + NFC

Creier: „Mmm… Portofelele virtuale sunt niște chestii mișto…”.

Excelent.

HOT-POT

Suflet: „Te provoc să faci Hack în asta!”

~$ Vocea interioară a Pălăriei Albe: „doar bătăi pe umăr dacă nu există recompensă de recompensă pentru bug-uri”.
~$ Vocea interioară a Pălăriei Gri: „ok, voi face asta doar în scop educațional”.
~$ Vocea interioară a Pălăriei Negre: „hai omule, hai să ne-o tragem cu acel HEAP, mare Jupiter!”.

Mai târziu în acea zi…

Pwnie express.

ANALIZĂ

Nu mai e nevoie să spun că mi-am luat smartphone-ul meu Android cu rădăcini murdare (cu USB Debugging Enabled), am instalat aplicația vizată din Play Store și am aruncat originalul *.apk pe laptopul meu prin adb.

# adb pull /data/app/com.sitael.vending-1/base.apk ./Argenta.apk

Am descompilat *.apk cu apktool

# apktool d ./Argenta.apk -o ./Argenta

și am extras sursele Java cu jadx

# jadx ./Argenta.apk 

În primul rând, am făcut fișierul *.apk depanabil prin editarea fișierului AndroidManifest.xml prin adăugarea proprietății android:debuggable="true" la application <tag>

Apoi, am reconstruit fișierul *.apk

# apktool b ./Argenta

a creat o nouă cheie cu keytool

# keytool -genkey -v -keystore Argenta.keystore -alias Argenta -keyalg RSA -keysize 2048 -validity 10000

a semnat fișierul *.apk cu jarsigner folosind cheia generată

# jarsigner -verbose -sigalg SHA1withRSA -digestalg SHA1 -keystore Argenta.keystore Argenta.apk Argenta

în cele din urmă, l-am aliniat prin zip pentru a-l face executabil

# zipalign -v 4 Argenta.apk Argenta-signed.apk

și am instalat fișierul final *.apk

Am rulat aplicația pe smartphone și am început să mă uit la jurnale cu logcat filtrându-le prin numele pachetului său

# adb logcat --pid=`adb shell pidof -s com.sitael.vending`

Nimic special găsit, așa că am început să răscolesc codurile sursă în căutarea unor informații suculente.

Urmărind mai bine în fișierul AndroidManifest.xml, am găsit referințe la RushOrm

Atunci, primul cuvânt cheie căutat a fost db_name

Cool. Am pornit Root Explorer pe telefon căutând argenta.db

Am găsit. Așa că l-am tras pe laptop cu adb

# adb pull /data/data/com.sitael.vending/databases/argenta.db ./

și am încercat să îl deschid cu un DB Browser pentru SQLite

evident, era protejată prin parolă

REVERSE-ENGINEERING

Am revenit la codurile sursă, m-am uitat la RushAndroidConfig.java

unde am găsit metodele folosite pentru a configura baza de date.
Atenția mea a fost atrasă de this.encryptionKey = getDeviceId(context);

Am trecut la definiția acesteia și…

Am descoperit că aplicația vizată folosea IMEI-ul telefonului (*#06#)ca cheie de criptare pentru baza de date SQLite.

Abracadabra.

Boom baby.

După câteva secunde de inspecție, am deschis la tabela UserWallets

și am editat câmpul walletCredit scriind modificările

după care am împins baza de date cu creditul pompat înapoi la telefon

# adb pull ./argenta.db /data/data/com.sitael.vending/databases/argenta.db

VERDICT

Între timp, în timp ce mă simțeam ca „Robin Hood” (referire nostalgică și explicită la Age Of Empires cheat code pentru +1000 de aur) am dezvoltat un utilitar Android pentru a arunca/restaura/tampona rapid și din mers baza de date a aplicației vizate.

Apoi m-am întors din nou la Universitatea mea pentru a testa în sfârșit Hack-ul

Dragă jurnal…

CONCLUZIE

Din contul cu zero credite, am putut:

>Să umflu creditul aplicației.
> Să cumpăr lucruri.
> Să actualizez creditul rămas.
> Să mă întorc la starea de credit zero.
> Să umflu din nou creditul.
> Începeți din nou.

Cu o inspecție macro a tuturor surselor inversate am găsit o porțiune imensă de cod curat – fără ofuscare – care însemna că nu au fost adoptate mari contramăsuri pentru a proteja datele utilizatorilor și a face aplicația deloc sigură.

Cu o lună în urmă…

Vocea interioară White Hat din mine a pus mâna pe telefon și a sunat compania din spatele acestei rușini pentru a raporta vulnerabilitatea. Le-am sugerat cu blândețe să arunce arhitectura actuală și să dezvolte una mai bună și mai sigură de la zero.

Hocus fals.

Tags

Înscrieți-vă la Hacker Noon

Creați-vă un cont gratuit pentru a vă debloca experiența de lectură personalizată.

Similar Posts

Lasă un răspuns

Adresa ta de email nu va fi publicată.