Как небольшая ошибка в системе безопасности стала "универсальным ключом" студгородка

Это приложение довольно важно, поскольку оно позволяет оплачивать питание, попадать на мероприятия и даже открывать двери в общежития, лаборатории и другие помещения на территории кампуса. Но Джонсон считал, что приложение работает медленно и загружается слишком долго.

И вот, проанализировав сетевые данные приложения в то же время, когда он отпирал дверь своей комнаты в общежитии, Джонсон нашел способ воспроизвести запрос сети и отпереть дверь одним нажатием кнопки на своем iPhone. Чтобы это сработало, ярлык должен был сначала отправить его “точное” местоположение вместе с запросом на разблокировку двери, иначе дверь бы не открылась. Джонсон сказал, что в качестве меры безопасности студенты должны физически находиться рядом, чтобы разблокировать двери с помощью приложения. Однако на этом он решил не останавливаться

Разработчик системы CBOARD публикует список команд, доступных через API, которыми можно управлять, используя учетные данные студента, как у него. Но вскоре он обнаружил лазейку: API не проверял, действительны ли учетные данные студента. Это означало, что любой человек мог связаться с API и завладеть учетной записью другого студента, не зная его пароля. Джонсон сказал, что API проверяет только уникальный идентификатор студента, но предупредил, что иногда он совпадает с именем пользователя или номером студенческого билета, выданным университетом, которые некоторые учебные заведения публично указывают в своих онлайн-каталогах студентов.

Джонсон назвал это "главным ключом" к своему университету - по крайней мере, к тем дверям, которые контролируются CBORD. Что касается необходимости находиться в непосредственной близости от двери, чтобы отпереть ее, Джонсон сказал, что ошибка позволила ему обмануть API, заставив его думать, что он физически присутствует - просто отправив обратно приблизительные координаты самого замка.