Много приложений для парковки работают по одному и тому же принципу. Человек заранее привязывает к приложению номер автомобиля и кредитную карту. Дальше, уже на парковке, всё происходит абсолютно автоматически: номер распознается, деньги списываются, шлагбаум открывается.
Энтузиасты из Бельгии придумали, как это можно использовать во зло. Негодяй привязывает к своему приложению чужой автомобиль, для этого только номер знать и надо, никаких подтверждений не требуется. Ну а дальше он знает обо всех парковках жертвы – где, когда и сколько. По расположению парковки часто очевидна цель поездки.
Нормальный человек ничего подозрительного не заметит. Да, шлагбаумы сами открываются, но может здесь сегодня счастливый час или ещё что-то такое, кто ж в халяве разбираться будет. Ну а стоимость слежки, соответственно, – оплата чужой парковки. Для многих случаев это очень привлекательная цена. Более того, по логике, если подсунуть приложению дебетовую карту с нулевым балансом, то слежка продолжится и станет бесплатной – но этот сценарий в оригинальной статье не рассматривался, сам я не проверял.
В итогах авторы предлагают несколько тактических решений, как можно снизить риски реального применения уязвимости. Мне кажется, главный вывод – просто напоминание того, как мир становится всё более прозрачным, а тайн становится всё меньше. В конкретном случае, конечно, фальстарт случился, такой простой способ слежки, видимо, сломают, но в целом мы именно сюда и идем. Чем более удобно, тем менее приватно. Увы.
Оригинальная #статьядня https://notmyplate.com/whitepaper/, в ней и другие дырки в парковочных приложениях разбираются, но эта — самая красивая.
Энтузиасты из Бельгии придумали, как это можно использовать во зло. Негодяй привязывает к своему приложению чужой автомобиль, для этого только номер знать и надо, никаких подтверждений не требуется. Ну а дальше он знает обо всех парковках жертвы – где, когда и сколько. По расположению парковки часто очевидна цель поездки.
Нормальный человек ничего подозрительного не заметит. Да, шлагбаумы сами открываются, но может здесь сегодня счастливый час или ещё что-то такое, кто ж в халяве разбираться будет. Ну а стоимость слежки, соответственно, – оплата чужой парковки. Для многих случаев это очень привлекательная цена. Более того, по логике, если подсунуть приложению дебетовую карту с нулевым балансом, то слежка продолжится и станет бесплатной – но этот сценарий в оригинальной статье не рассматривался, сам я не проверял.
В итогах авторы предлагают несколько тактических решений, как можно снизить риски реального применения уязвимости. Мне кажется, главный вывод – просто напоминание того, как мир становится всё более прозрачным, а тайн становится всё меньше. В конкретном случае, конечно, фальстарт случился, такой простой способ слежки, видимо, сломают, но в целом мы именно сюда и идем. Чем более удобно, тем менее приватно. Увы.
Оригинальная #статьядня https://notmyplate.com/whitepaper/, в ней и другие дырки в парковочных приложениях разбираются, но эта — самая красивая.