记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Wawa奖励礼品卡出现验证漏洞 用户可任意关联

2015-04-11 06:50

分享到:

Wawa商店是美国宾夕法尼亚州、新泽西州、特拉华州等地最受顾客欢迎的商店之一。当公司宣布近期将推出一个新版安卓app并发布奖励计划时,我安装了这个app,想研究一下它是如何工作的。注册完并为账户关联了一张礼品卡后,我发现了一个严重的漏洞——它允许攻击者任意将礼品卡跟账户关联。由于app并不要求物理接近这张卡才能在登记处使用,导致攻击者随后能够使用卡中的余额。

http://hackdig-h.stor.sinaapp.com/pictures/month_1504/201504110650107303.png

我申请了这个奖励项目,在店中购买了一张礼品卡,然后安装了app开始监控API请求。我立即遇到一个拦路虎:在执行完明显需要API通信的动作之后,我在我的代理中并没有看到任何网络请求。我想可能是用了证书锁定。尽管锁定很好,但它只会临时阻止捕获流量的行为,所以我对app进行逆向以禁用锁定。

对app反编译并查询到SSL、证书、X509TrustManager等的引用来源之后,我发现了以下类似乎会执行这个锁定:

http://hackdig-h.stor.sinaapp.com/pictures/month_1504/201504110650117073.png

http://hackdig-h.stor.sinaapp.com/pictures/month_1504/201504110650112917.png

由于验证方法似乎会根据公钥(服务器的公钥并且已经本地硬编码)返回一个布尔值,我修改了这个方法,在所有类中只返回True,这就有效地禁用了这个锁定。以下是这个方法打补丁的smali表示:

http://hackdig-h.stor.sinaapp.com/pictures/month_1504/201504110650123045.png

第13行跟第14行创建并返回了true值。反编译并安装好打补丁的app之后,我进行了验证,这样就能够在app里代理这些请求。

由于API请求被捕获,我开始将礼品卡与我的账户进行关联。为了关联一张礼品卡,顾客首先会被要求提供卡号跟PIN(可从卡的背面区域刮出)。

http://hackdig-h.stor.sinaapp.com/pictures/month_1504/201504110650127704.png

输入这些值后, app通过检查余额对卡进行了验证。以下是请求及响应:

http://hackdig-h.stor.sinaapp.com/pictures/month_1504/201504110650124141.png

一旦卡被验证,另外一个请求会将卡跟用户进行关联。

http://hackdig-h.stor.sinaapp.com/pictures/month_1504/201504110650139729.png

注意,要将卡跟用户账户关联只需要一个giftCardID。此外,这个giftCardID类似于一个内部主关键字,它很可能是有顺序的。通过这个请求,攻击者能够通过giftCardID重述并且任意将它们分配给自己的账户,在不需要物理接近这些卡的情况下,花完存储的余额。这也允许将“未激活”卡添加至攻击者账户,在登记处激活之后便可以使用这张卡。

http://hackdig-h.stor.sinaapp.com/pictures/month_1504/201504110650135675.png

意识到这个漏洞的潜在影响之后,我跟Wawa的信息安全团队进行了联系。我试图通过LinkedIn联系,结果通过猜测首席信息官的邮箱地址而联系到了某人。他们的团队响应性非常好,并且非常注重这个漏洞问题。

披露时间表

2015-03-25:向首席信息官发送首封邮件

2015-03-26:得到回复,描述了漏洞详情

2015-03-27:证实漏洞问题

2015-03-27:减缓漏洞(2015-04-01得到通知)

2015-03-31:跟进更新

2015-04-01:讨论有限的补丁详情

当Wawa团队快速行动后,他们本可以在跟进问题方面更为彻底。Wawa团队指出,这个漏洞或设计漏洞在服务器端进行了修正。我对此提出了看法,因为这个“修复”似乎并没有解决在添加礼品卡时缺少验证这个问题。尽管他们的团队不能与我分享补丁详情,我认为所有的礼品卡现在都已被默认标记为“不可关联”,直到余额检查请求被执行。在假设情况下,这张礼品卡随后被设置为“可关联”,然后在理想情况下立即关联到用户的账户。这就大大降低了漏洞被恶意利用的几率,但它依然会留有一个小窗口,让攻击者“狙击”到礼品卡,这取决于余额查询及关联请求之间的请求。

尽管有这个担忧,但Wawa确认已将问题解决,并且感谢我报告了这个漏洞。

本文由 360安全播报 翻译,转载请注明“转自360安全播报”,并附上链接。
原文链接:http://randywestergren.com/wawa-rewards-gift-card-takeover-vulnerability/

知识来源: bobao.360.cn/learning/detail/339.html

阅读:152848 | 评论:0 | 标签:漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“Wawa奖励礼品卡出现验证漏洞 用户可任意关联”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云

本页关键词