زمانی که اریک جانسون نتوانست برنامه تلفن همراه شناسایی دانشجویی دانشگاهش را به طور قابل اعتماد کار کند، سعی کرد راه حلی بیابد.
این برنامه بسیار مهم است زیرا به او و هر دانشجوی دیگری در دانشگاهش اجازه می دهد هزینه غذا را پرداخت کند، وارد رویدادها شود و حتی درهای خوابگاه ها، آزمایشگاه ها و سایر امکانات دانشگاه را باز کند. این اپلیکیشن GET Mobile نام دارد و توسط CBORD، یک شرکت فناوری که سیستم های کنترل دسترسی و پرداخت را به بیمارستان ها و دانشگاه ها ارائه می دهد، توسعه یافته است. اما جانسون – و بسیاری از کسانی که با ناامیدی بررسیهای یک ستارهای را از برنامه ارائه کردند – گفتند که برنامه کند است و بارگیری آن خیلی طول میکشد. بایستی یک راه بهتر وجود داشته باشد.
بنابراین، با تجزیه و تحلیل داده های شبکه برنامه همزمان با باز کردن قفل درب اتاق خواب، جانسون راهی برای پخش درخواست شبکه و باز کردن قفل درب با استفاده از یک دکمه میانبر تک لمسی در آیفون خود پیدا کرد. برای کار، ابتدا باید میانبر مکان دقیق خود را به همراه درخواست باز کردن قفل درب ارسال کند وگرنه درب آن باز نمی شود. جانسون گفت به عنوان یک اقدام امنیتی، دانش آموزان باید از نظر فیزیکی برای باز کردن قفل درها با استفاده از این برنامه نزدیک باشند، که به عنوان اقدامی با هدف جلوگیری از باز شدن تصادفی درها در محوطه دانشگاه دیده می شود.
کار کرد، اما چرا باید در آنجا توقف کرد؟ اگر می توانست بدون نیاز به اپلیکیشن قفل در را باز کند، چه کارهای دیگری می توانست تکرار کند؟
جانسون مجبور نبود به دنبال کمک باشد. CBORD لیستی از دستورات قابل دسترسی از طریق API خود را منتشر می کند که می توان با استفاده از اعتبار دانش آموزی مانند وی کنترل کرد. (API اجازه می دهد تا دو چیز از طریق اینترنت با یکدیگر صحبت کنند، در این مورد یک برنامه تلفن همراه و سرورهای دانشگاه که داده های دانشجو را ذخیره می کنند.)
اما او به زودی متوجه یک مشکل شد: API بررسی نکرد که آیا اعتبار دانشآموز معتبر است یا خیر. این بدان معناست که جانسون یا هر شخص دیگری در اینترنت میتواند با API ارتباط برقرار کند و حساب دانشآموز دیگری را بدون نیاز به دانستن رمز عبور آنها تصاحب کند. جانسون گفت که API فقط شناسه منحصربهفرد دانشآموز را بررسی میکند، اما هشدار داد که گاهی اوقات آنها با نام کاربری یا شماره شناسه دانشآموز یکسان هستند، که برخی از مدارس به صورت عمومی در فهرست راهنمای دانشآموزان آنلاین خود فهرست میکنند و نمیتوان آنها را بهعنوان محرمانه در نظر گرفت.
جانسون خطای رمز عبور را به عنوان یک “کلید اصلی” برای دانشگاه خود توصیف کرد – حداقل برای درهای کنترل شده توسط CBORD. در مورد نیاز به نزدیک بودن به دری برای باز کردن قفل، جانسون گفت که این اشتباه به او اجازه داد API را فریب دهد تا فکر کند از نظر فیزیکی حضور دارد – صرفاً با ارسال مختصات تقریبی خود قفل.
در TechCrunch بیشتر بخوانید
- آسیبپذیریهای امنیتی در مرکز محبوب خانه هوشمند به هکرها اجازه میدهد قفل درهای ورودی را باز کنند
- از ترس ویروس کرونا، یک کالج در میشیگان دانشجویان خود را با یک برنامه معیوب ردیابی کرد
- تافتز یک دانش آموز را به دلیل هک کردن یک کلاس بیرون کرد. او ادعای بی گناهی می کند
از آنجایی که این خطا در API کشف شد، جانسون گفت که این خطا میتواند دانشگاههای دیگر را نیز تحت تأثیر قرار دهد، اگرچه او بررسی نکرد که آیا درست میگوید، زیرا میترسید که از محدودیتهای دسترسی به حسابش فراتر رود. در عوض، او به دنبال راهی برای گزارش خطای CBORD بود، اما نتوانست ایمیل امنیتی خاصی را در وب سایت خود پیدا کند. او با خط پشتیبانی تماس گرفت تا آسیبپذیری را آشکار کند، اما یکی از نمایندگان پشتیبانی گفت که آنها هیچ تماسی با امنیت ندارند و به او گفته شد که اشکال را از طریق مدرسه خود گزارش کنند.
جانسون از TechCrunch خواست تا جزییات آسیب پذیری را با CBORD به اشتراک بگذارد، با فرض اینکه این باگ به راحتی مورد سوء استفاده قرار گیرد.
این آسیب پذیری مدت کوتاهی پس از تماس ما با شرکت در 12 فوریه برطرف شد. جاش الدر، مدیر ارشد اطلاعات CBORD در ایمیلی تأیید کرد که این آسیبپذیری قبلاً رفع شده و کلیدهای جلسه نامعتبر هستند، و در واقع هرگونه دسترسی تأیید نشده API باقیمانده را میبندد. Elder گفت که مشتریان CBORD مطلع شده اند، اما Elder از به اشتراک گذاشتن مکاتبات با TechCrunch خودداری کرد. یک مدیر اجرایی امنیتی، که سازمانش نیز مشتری CBORD است، به TechCrunch گفت که هیچ اطلاعیهای از CBORD در مورد این آسیبپذیری دریافت نکردهاند. مشخص نیست که آیا CBORD هرگز قصد دارد به کاربران و دارندگان حساب – از جمله دانشجویانی مانند جانسون – اطلاع دهد.
الدر با یافتههای جانسون مخالفت نکرد، اما از اظهار نظر بیشتر در پاسخ به این سوال که آیا این شرکت گزارشها را نگه میدارد یا توانایی تشخیص استفاده مخرب از API خود را دارد، از اظهار نظر بیشتر خودداری کرد. TechCrunch پس از اینکه خواستیم با سخنگوی شرکت صحبت کنیم تا به سوالات اضافی خود پاسخ دهیم، به ما پاسخ نداد.
این اولین باری نیست که CBORD مجبور است آسیبپذیری را برطرف کند که میتواند قفل درهای راه دور را باز کند. Wired در سال 2009 اعلام کرد که امکان رهگیری فرمان باز کردن قفل در و حدس زدن شماره سریال بعدی وجود دارد که نیاز به کارت شناسایی را برطرف می کند.