Sicherheitsagentur und "neue" Technologien

    Die Geschichte, wie Sie keine Autorisierung vornehmen müssen, insbesondere in Bereichen, die für Leben und Eigentum wichtig sind, wie zum Beispiel die Verwaltung eines Sicherheitsalarmsystems über die Anwendung vom Telefon aus.



    Kurze Einführung


    Angefangen hat alles damit, dass ich ein Haus gebaut habe und ein Haus ohne Alarmanlage in unserer Realität durchaus existieren kann, aber nichts mehr oder weniger Wertvolles da bleibt (traurige Fälle von Nachbarn bestätigen dies). Das Einstellen und Deaktivieren des Schlüssels verursachte während der Innen- und Außenbearbeitung keine Unannehmlichkeiten.


    Das Haus hat eine Garage, die Tore öffnen sich von der Fernbedienung und dementsprechend wird das Auto dort abgestellt. Wenn das Haus unter Bewachung ist, löst das Öffnen über die Fernbedienung einen „Alarm“ am Tor aus und nach 2-3 Minuten die Ankunft von ernsthaften Männern. Um dies zu vermeiden, müssen Sie zuerst den Schutz entfernen (Vorraum öffnen, Schlüssel anbringen, Vorraum schließen, wieder ins Auto steigen) und dann das Tor öffnen. Und irgendwie ist diese Prozedur etwas nervig, besonders im Winter, und im Allgemeinen ist die ganze "Magie" irgendwie verloren.


    Natürlich können Sie geschickt sicherstellen, dass das Öffnen des Tors den Alarm beseitigt, aber ich habe diesen Punkt noch nicht erreicht.


    Aber ich fand heraus, dass unsere Sicherheitsagentur eine Wunderanwendung "Phoenix Mobile Keyboard" hat. Die Anwendung ist nicht nur sie, sondern sie arbeiten damit. Mit ihm können Sie den Alarm vom Telefon aus steuern, was mehr oder weniger die Freude an all dem wiedergibt.


    Und jetzt die Geschichte selbst


    Um das Sicherheitsmanagement von der Anwendung aus zu verbinden, die Sie zum Büro der Sicherheitsbehörde benötigen, suchen Sie den benötigten Techniker, zahlen Sie 400 Rubel für das „Setup“ an der Kasse und Sie erhalten ein Konto, das Sie in die Einstellungen des Telefons einbinden und voila, Sie können die Sicherheit steuern, wie Sie möchten, erhalten Push-Benachrichtigungen und nicht wissen, Trauer.


    Alles wäre in Ordnung, aber wenn Sie sich registrieren, erhalten Sie ein Login in Form von drei Buchstaben, z. B. abb (Initialen), und das Passwort wird aus den letzten vier Ziffern der Telefonnummer (wie der Ingenieur sagte, damit sie nicht vergessen), dh 0808, erstellt. gefragt, ob das Passwort anders eingestellt werden kann, sagten sie, dass es möglich ist, aber nur Zahlen. Nun, ok, ich habe mir das richtige Passwort gesetzt und bin losgezogen, um zu testen, wie alles funktioniert.



    In der Zwischenzeit war eine Idee in meinem Kopf gereift - aber sollte ich es versuchen ...


    Wir nehmen ein iPhone, verbinden es mit dem Mohn, starten :, rvictl -s iPhone_UDIDklammern uns über Wireshark an die neue Schnittstelle und sehen, wie unsere Anwendung funktioniert und was sie sendet. Sie können andere Geräte / Werkzeuge mitnehmen, aber ich habe eines.



    Es funktioniert, wie sich herausstellt, über das Wamp-Protokoll - dies ist im Wesentlichen derselbe Web-Socket. Natürlich ist nichts verschlüsselt und Sie können genau sehen, wie Anforderungen gesendet werden, und sie tatsächlich wiederholen.


    Nun versuchen wir die eingegangenen Anfragen zu reproduzieren. All dies für die Geschwindigkeit der Tests, können Sie die Erweiterung für Chrome Typ "Web Socket Client" setzen und dort versuchen.



    Nachdem Sie sichergestellt haben, dass alles genau wie erwartet funktioniert, schreiben Sie den Client schnell, z. B. auf den Knoten.


    Wir stellen fest, dass die API mit unterschiedlichen Meldungen antwortet, wenn der Benutzer überhaupt nicht gefunden wird und das Passwort falsch ist. Dies beschleunigt den Vorgang.


    Unser Kunde wird ziemlich dumm sein, aber trotzdem effektiv. Der Client zählt alle Anmeldungen auf, die aus drei Buchstaben bestehen. Wenn der Benutzername existiert, beginnt er damit, das Passwort dafür aufzulisten, wenn nicht, fahren wir mit dem nächsten fort. Das Passwort ist im Bereich von 0000 bis 9999 sortiert.


    Wir fangen das alles an und warten. Logins bewegten sich recht schnell (10 Minuten), es stellte sich heraus, dass ca. 150 Stück (der Service wird nicht so oft genutzt). Das Passwort für jeden Login ist in ca. 8 Minuten. Es gibt keine Einschränkungen für die Überprüfung im IPA. Und Sie können Multithreading aushöhlen.


    Passwörter wurden in 100% der Fälle ausgewählt. Bei erfolgreicher Passwortauswahl gibt die API Informationen aus wie: Name des Besitzers, Adresse (möglicherweise gibt es viele Objekte), einige Token (anscheinend zum Senden von Pushs), Sitzungs-ID usw.


    Nach dem Einloggen können Sie das gesamte Objekt entsprechend unscharf schalten. Die Objekte selbst stießen ziemlich weit von der Stadt entfernt. Wenn diese Information in die Hände der "Bösen" gefallen wäre, hätte die Autopsie eines bewachten Objekts problemlos bestanden, und dann wäre es möglich gewesen, sicher zu bewaffnen, und niemand hätte es bemerkt.


    Als ich merkte, dass ich selbst Kunde dieses Büros bin, wurde es ein wenig unangenehm.


    Eine Sache ist gut, anscheinend hat das Unternehmen noch eine Art Überwachung, oder es wurde möglicherweise versehentlich bemerkt, aber nach einer Weile hörte die Anwendung auf, Passwörter zu akzeptieren, und schlug vor, sich an das Büro zu wenden.


    Infolgedessen änderten alle ihre Benutzernamen und gaben normale Passwörter ein. Das Protokoll blieb jedoch, da es unverschlüsselt war, doch zumindest etwas.


    Warum ist das alles? Vielleicht möchte jemand danach sein System ein wenig sicherer machen, und jemand, der einen ähnlichen Dienst mit ähnlichen Passwörtern verwendet, wird ihn von der anderen Seite betrachten und nach Maßnahmen fragen. Mit solchen einfachen Aktionen wird das Sicherheitsniveau leicht erhöht.


    Ich gebe hier keine Namen an und depersonalisiere so weit wie möglich alle Daten, damit derjenige, der sich erkennt, Schlussfolgerungen zieht :)


    PS Dieser Artikel dient nur zu Informationszwecken, die zum Zeitpunkt der Veröffentlichung beschriebenen Probleme sind nicht mehr relevant - das Unternehmen hat Maßnahmen ergriffen.


    Jetzt auch beliebt: