Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 18 reacties

De onderzoeker Kuba Gretzky besloot om eens de werking van een Android-app onder de loep te nemen, waarmee gebruikers punten kunnen verdienen als zij aankopen doen. In een blogpost beschrijft hij zijn onderzoek, wat hem uiteindelijk gratis bier opleverde.

Gretzky noemt de naam van de app expres niet, maar geeft wel prijs dat deze alleen in Polen wordt gebruikt. Door de app kunnen gebruikers na een aankoop punten verdienen door de verkoper te laten weten dat zij deze willen ontvangen. Zo is het bijvoorbeeld mogelijk bij een aankoop van vijf biertjes er een gratis te krijgen. Zijn eerste stap in het onderzoek leidde hem naar beacons van Estimote, die door de app gebruikt worden om het ontvangen van punten te autoriseren.

Dat leidde Gretzky tot de conclusie dat er draadloos gegevens werden overgedragen. Ook had hij eerder al vastgesteld dat de beacons een aantal waarden verwerken om punten aan de app toe te kennen. Nu was het zaak de gegevens te onderscheppen, hiervoor gebruikte de onderzoeker software met de naam Fiddler, die http- en https-verkeer kan onderscheppen. Na wat gehannes met certificaten was Gretzky in staat om het internetverkeer van zijn eigen telefoon te onderscheppen. Ook het verkeer van de app kon op die manier opgevangen worden, omdat deze niet gebruikmaakt van certificate pinning. 

Op die manier zag de onderzoeker bijvoorbeeld dat de verificatie en bijbehorende pin in klare tekst werden overgedragen. De pin met brute force kraken was geen optie, omdat er een maximum aan het aantal verzoeken was gesteld. Daarom besloot hij om de pin op afstand te onderscheppen met behulp van een 'evil vpn'. Deze was snel genoeg opgezet met behulp van een autoconfiguratiescript en was na enig gedoe ook werkend te krijgen op Android 6.0. Daarna kon Gretzky https-pakketten opvangen en ontsleutelen met behulp van de tool SSLsplit.

Uitgerust met zijn telefoon en de 'evil vpn' ging Gretzky opnieuw naar de stad en was in staat om in een winkel twee pincodes te onderscheppen door zijn locatievoorzieningen uit te schakelen. De verificatie door nabijheid van een beacon was in dat geval namelijk niet mogelijk. Ook kon hij een autorisatiepakketje onderscheppen door zijn locatievoorzieningen weer aan te zetten. Zo kon de onderzoeker uiteindelijk tot de conclusie komen dat de verificatiesleutels voor het toevoegen van punten constant werden uitgezonden in winkels en restaurants. Door het juiste pakketje in Fiddler te onderscheppen en aan te passen was het vervolgens mogelijk om gratis punten, en daarmee ook bier, te verdienen.

In zijn blogpost geeft Gretzky nog enkele tips voor verbetering van de beveiliging van de app, zoals certificate pinning en code obfuscation.

estimote beacon        De Estimote-beacons

Moderatie-faq Wijzig weergave

Reacties (18)

"hiervoor gebruikte de onderzoeker een proxy met de naam Fiddler, die http- en https-verkeer kan onderscheppen"

Fiddler is geen "proxy", maar software waarmee je oa. DPI op je (draadloze) netwerk verkeer kan toepassen.

Je kan inderdaad ook een (Wifi) proxy opzetten waarmee je al het verkeer van een app en de server kan monitoren.

http://www.telerik.com/fiddler
Heb je de telerik pagina überhaupt wel gelezen?

Citaat: "FiddlerCore is the core proxy engine"

Jij beweert dat het geen proxy is?
Ik werk er als developer sinds een jaar of drie mee.

Oa. om DPI op Instagram los te laten (reverse engenering van de .apk naar .xap) en Wifi proxies voor een VPN ip te zetten (Windows Business / Enterprise Networking)...

Dus "ja" ik heb het wel eens gelezen :)
Fiddler is wel degelijk een proxy. Ik weet niet wat jouw definitie van proxy is, maar Fiddler gedraagt zich als een man-in-the-middle (proxy!) waardoor je het HTTP verkeer kan bekijken en zelfs kan aanpassen.
'debugging proxy' of varianten daarvan vond ik wat te gedetailleerd, heb er nu gewoon software van gemaakt :P
we zijn allemaal tweakers hier hoor, noem het beestje maar gewoon bij z'n naam ;)
Een proxy is niet noodzakelijk een kaal doorgeefluik. Je kan een proxy uitbouwen tot debugger:

http://www.telerik.com/fiddler:

"The free web debugging proxy for any browser, system or platform"
Fiddler is een "Web Debugger".

Zeer goed programma voor HTTP traffic te bezien.
Ja en bij de subway app kon je (paar jaar geleden) dankzij fiddler andere plaatjes terug sturen en zo een gratis sub mee krijgen.
Vind het toch altijd wel leuk als mensen dit soort systemen grondig analyseren en proberen te misbruiken. Zolang er geen echt kwaad in de zin is dan.

Maar wel veel werk voor een paar gratis biertjes :X
Je krijgt van mij punten vanwege de zin "Maar wel veel werk voor een paar gratis biertjes :X"
Voor mij is dat de tweaker spirit.
Ik ben u zeer erkentelijk :P
Ach ja wat een beetje fiddler al allemaal niet kan doen. Zo ben ik er achter gekomen via Fiddler hoe de Pathé Android app werkte. Hierdoor heeft Homey nu ook Pathé ondersteuning.
Sinds wanneer zorgt "code obfuscation" voor meer veiligheid...
Lijkt me maar een beetje een raar advies.
Heel veel ontwikkelaars obfuscaten hun apps niet.. zo ook bijvoorbeeld die van McDonald's :S deze zijn makkelijk te decompileren online en daardoor kan je plaintext url's en wachtwoorden vinden van bijvoorbeeld een api. :) het bekijken van die code is natuurlijk altijd leuk, maar kwaadwillenden kunnen hier waarschijnlijk rottige dingen mee doen.
Geen Big Macs meer voor ons :'( :'( :'(
Dat doen ze alleen in nl, ze passen zich aan aan ons

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True