Als Erik Johnson Da die mobile Studentenausweis-App seiner Universität nicht zuverlässig funktionierte, suchte er nach einer Lösung.
Die App ist ziemlich wichtig, da sie es ihm und allen anderen Studenten an seiner Universität ermöglicht, für Mahlzeiten zu bezahlen, an Veranstaltungen teilzunehmen und sogar Türen zu Schlafsälen, Labors und anderen Einrichtungen auf dem gesamten Campus aufzuschließen. Die App heißt GET Mobile und wurde von CBORD entwickelt, einem Technologieunternehmen, das Zugangskontroll- und Zahlungssysteme in Krankenhäuser und Universitäten bringt. Aber Johnson – und viele, die der App frustriert Ein-Stern-Bewertungen hinterlassen haben – sagten, die App sei langsam und würde zu lange zum Laden brauchen. Es musste einen besseren Weg geben.
Und so fand Johnson durch die Analyse der Netzwerkdaten der App zur gleichen Zeit, als er die Tür seines Schlafsaals aufschloss, einen Weg, die Netzwerkanfrage zu replizieren und die Tür zu entriegeln, indem er eine One-Tap-Shortcut-Taste auf seinem iPhone verwendete. Damit es funktioniert, muss der Shortcut zuerst seinen genauen Standort zusammen mit der Anfrage zum Öffnen der Tür senden, sonst öffnet sich seine Tür nicht. Johnson sagte, dass die Schüler als Sicherheitsmaßnahme physisch in der Nähe sein müssen, um Türen mit der App zu entriegeln, was als Maßnahme angesehen wird, die darauf abzielt, versehentliche Türöffnungen auf dem gesamten Campus zu verhindern.
Es hat funktioniert, aber warum hier aufhören? Wenn er eine Tür aufschließen könnte, ohne die App zu benötigen, welche anderen Aufgaben könnte er wiederholen?
Johnson musste nicht lange nach Hilfe suchen. CBORD veröffentlicht a Liste von Befehlen, die über seine API verfügbar sind und die mit den Anmeldeinformationen eines Schülers wie seiner gesteuert werden können. (Eine API ermöglicht es zwei Dingen, über das Internet miteinander zu kommunizieren, in diesem Fall einer mobilen App und den Servern einer Universität, auf denen die Daten der Studenten gespeichert sind.)
Aber er fand bald ein Problem: Die API überprüfte nicht, ob die Anmeldeinformationen eines Schülers gültig waren. Das bedeutete, dass Johnson oder jeder andere im Internet mit der API kommunizieren und das Konto eines anderen Schülers übernehmen konnte, ohne dessen Passwort kennen zu müssen. Johnson sagte, die API habe nur die eindeutige ID des Schülers überprüft, warnte jedoch davor, dass diese manchmal mit einem von der Universität ausgestellten Schüler-Benutzernamen oder einer Schüler-ID-Nummer identisch sind, die einige Schulen öffentlich in ihren Online-Studentenverzeichnissen auflisten und als solche nicht als geheim angesehen werden können .
Johnson beschrieb den Passwortfehler als „Hauptschlüssel“ zu seiner Universität – zumindest zu den Türen, die von CBORD kontrolliert werden. In Bezug auf die Notwendigkeit, in unmittelbarer Nähe einer Tür zu sein, um sie zu entriegeln, sagte Johnson, der Fehler habe es ihm ermöglicht, die API zu täuschen, dass er physisch anwesend sei – einfach indem er die ungefähren Koordinaten des Schlosses selbst zurücksendete.
Da der Fehler in der API gefunden wurde, sagte Johnson, dass der Fehler andere Universitäten betreffen könnte, obwohl er nicht überprüfte, ob er Recht hatte, weil er befürchtete, dass dies die Grenzen seines Kontozugriffs überschreiten würde. Stattdessen suchte er nach einer Möglichkeit, den Fehler an CBORD zu melden, konnte aber auf seiner Website keine spezielle Sicherheits-E-Mail finden. Er rief die telefonische Support-Hotline an, um die Schwachstelle offenzulegen, aber ein Support-Mitarbeiter sagte, sie hätten keinen Sicherheitskontakt und ihm wurde gesagt, er solle den Fehler über seine Schule melden.
Unter der Annahme, dass der Fehler leicht ausgenutzt werden könnte, bat Johnson Tech, CBORD Einzelheiten über die Schwachstelle mitzuteilen.
Die Schwachstelle wurde kurz nach unserer Kontaktaufnahme mit dem Unternehmen am 12. Februar behoben. In einer E-Mail bestätigte Josh Elder, Chief Information Officer von CBORD, dass die Schwachstelle nun behoben ist und die Sitzungsschlüssel ungültig gemacht wurden, wodurch jeder verbleibende nicht authentifizierte Zugriff auf die API effektiv gesperrt wurde. Elder sagte, dass die Kunden von CBORD benachrichtigt wurden, aber Elder lehnte es ab, die Korrespondenz mit Tech zu teilen. Ein Sicherheitsexperte, dessen Organisation ebenfalls CBORD-Kunde ist, teilte Tech mit, dass er von CBORD keine Benachrichtigung über die Schwachstelle erhalten habe. Es ist unklar, ob CBORD jemals plant, Benutzer und Kontoinhaber zu benachrichtigen – einschließlich Studenten wie Johnson.
Elder bestritt die Ergebnisse von Johnson nicht, lehnte jedoch eine weitere Stellungnahme ab, als er gefragt wurde, ob das Unternehmen Protokolle speichert oder in der Lage ist, die böswillige Ausnutzung seiner API zu erkennen. Tech hat keine Antwort erhalten, nachdem wir darum gebeten hatten, mit einem Unternehmenssprecher zu sprechen, um unsere weiteren Fragen zu beantworten.
Es ist nicht das erste Mal, dass CBORD eine Schwachstelle beheben musste, die Türen aus der Ferne entriegelt haben könnte. Verdrahtet 2009 gemeldet dass es möglich war, einen Türöffnungsbefehl abzufangen und die nächste Sequenznummer zu erraten, wodurch die Notwendigkeit eines Personalausweises zunichte gemacht wurde.