Erik Johnson ne zaman üniversitesinin mobil öğrenci kimliği uygulamasını güvenilir bir şekilde çalıştıramadı, bir geçici çözüm bulmaya çalıştı.
Uygulama oldukça önemlidir, çünkü onun ve üniversitesindeki diğer tüm öğrencilerin yemek için ödeme yapmasına, etkinliklere katılmasına ve hatta kampüsteki yurt odalarına, laboratuvarlara ve diğer tesislere açılan kapıların kilidini açmasına olanak tanır. Uygulamanın adı GET Mobile ve hastanelere ve üniversitelere erişim kontrolü ve ödeme sistemleri getiren bir teknoloji şirketi olan CBORD tarafından geliştirildi. Ancak Johnson – ve uygulamayı bir yıldızlı incelemeden hayal kırıklığına uğratan birçok kişi – uygulamanın yavaş olduğunu ve yüklenmesinin çok uzun süreceğini söyledi. Daha iyi bir yol olmalıydı.
Böylece Johnson, yurt odasının kapısını açarken aynı zamanda uygulamanın ağ verilerini analiz ederek, iPhone’undaki tek dokunuşlu Kısayol düğmesini kullanarak ağ talebini çoğaltmanın ve kapının kilidini açmanın bir yolunu buldu. Çalışması için, Kısayolun önce kapı kilidi açma talebiyle birlikte kesin konumunu göndermesi gerekir, aksi takdirde kapısı açılmaz. Johnson, bir güvenlik önlemi olarak, kampüs genelinde kapıların yanlışlıkla açılmasını önlemeyi amaçlayan bir önlem olarak görülen, uygulamayı kullanarak kapıların kilidini açmak için öğrencilerin fiziksel olarak yakın olmaları gerektiğini söyledi.
İşe yaradı, ama neden orada dursun? Uygulamaya ihtiyaç duymadan bir kapının kilidini açabilseydi, başka hangi görevleri yerine getirebilirdi?
Johnson’ın yardım için uzaklara bakmasına gerek yoktu. CBORD yayınlıyor liste Onunki gibi bir öğrencinin kimlik bilgileri kullanılarak kontrol edilebilen API’si aracılığıyla kullanılabilen komutların sayısı. (Bir API, iki şeyin internet üzerinden birbiriyle konuşmasına izin verir, bu durumda bir mobil uygulama ve bir üniversitenin öğrencilerin verilerini depolayan sunucuları.)
Ancak çok geçmeden bir sorun buldu: API, bir öğrencinin kimlik bilgilerinin geçerli olup olmadığını kontrol etmiyordu. Bu, Johnson’ın veya internetteki herhangi birinin API ile iletişim kurabileceği ve şifrelerini bilmeden başka bir öğrencinin hesabını ele geçirebileceği anlamına geliyordu. Johnson, API’nin yalnızca öğrencinin benzersiz kimliğini kontrol ettiğini söyledi, ancak bunların bazen üniversite tarafından verilen bir öğrenci kullanıcı adı veya bazı okulların çevrimiçi öğrenci dizinlerinde herkese açık olarak listelediği öğrenci kimlik numarasıyla aynı olduğu ve bu nedenle bir sır olarak kabul edilemeyeceği konusunda uyardı. .
Johnson, şifre hatasını üniversitesi için – en azından CBORD tarafından kontrol edilen kapılar için – bir “ana anahtar” olarak nitelendirdi. Kilidi açmak için bir kapıya yakın olmaya ihtiyaç duymaya gelince, Johnson, böceğin API’yi fiziksel olarak orada olduğunu düşünmesi için kandırmasına izin verdiğini söyledi – sadece kilidin yaklaşık koordinatlarını geri göndererek.
Hata API’de bulunduğundan Johnson, hatanın diğer üniversiteleri etkileyebileceğini söyledi, ancak haklı olup olmadığını kontrol etmedi, bunun hesap erişim sınırlarını aşacağından korkuyordu. Bunun yerine hatayı CBORD’a bildirmenin bir yolunu aradı, ancak web sitesinde özel bir güvenlik e-postası bulamadı. Güvenlik açığını açıklamak için telefon destek hattını aradı, ancak bir destek temsilcisi, bir güvenlik bağlantılarının olmadığını ve hatayı okulu aracılığıyla bildirmelerinin söylendiğini söyledi.
Hatadan kolayca yararlanılabileceğini varsayan Johnson, TechCrunch’tan güvenlik açığının ayrıntılarını CBORD ile paylaşmasını istedi.
Güvenlik açığı, 12 Şubat’ta şirketle iletişime geçmemizden kısa bir süre sonra çözüldü. Bir e-postada, CBORD bilgi işlem şefi Josh Elder, güvenlik açığının düzeltildiğini ve oturum anahtarlarının geçersiz kılındığını ve API’ye kalan kimliği doğrulanmamış tüm erişimin etkin bir şekilde kapatıldığını doğruladı. Elder, CBORD’un müşterilerinin bilgilendirildiğini söyledi, ancak Elder yazışmaları TechCrunch ile paylaşmayı reddetti. Kuruluşu aynı zamanda bir CBORD müşterisi olan bir güvenlik yöneticisi, TechCrunch’a güvenlik açığı hakkında CBORD’dan herhangi bir bildirim almadıklarını söyledi. CBORD’un, Johnson gibi öğrenciler de dahil olmak üzere kullanıcıları ve hesap sahiplerini bilgilendirmeyi planlayıp planlamadığı belli değil.
Elder, Johnson’ın bulgularına itiraz etmedi, ancak şirketin günlükleri depolayıp depolamadığı veya API’sinin kötü niyetli kullanımını tespit etme yeteneğine sahip olup olmadığı sorulduğunda daha fazla yorum yapmaktan kaçındı. TechCrunch, başka sorularımızı yanıtlamak için bir şirket sözcüsüyle görüşme talebinde bulunmamıza rağmen geri dönmedi.
Bu, CBORD’un kapıları uzaktan açabilecek bir güvenlik açığını ilk kez düzeltmesi değil. kablolu 2009’da rapor edildi bir kapı açma komutunu engellemenin ve bir sonraki sıra numarasını tahmin etmenin, bir kimlik kartı ihtiyacını ortadan kaldırmanın mümkün olduğunu.