⚡ Найдена «дыра» в приложении «Городских парковок» Краснодара

⚡ Позорную уязвимость обнаружили в приложении «Городских парковок» Краснодара.

С помощью нехитрых действий любой пользователь может авторизоваться в любую учётную запись, узнать информацию о владельце аккаунта, его автомобилях, электронную почту, а также свободно использовать чужой баланс для оплаты парковки.Уязвимости уже около месяца, причём её, скорее всего, намеренно создали разработчики приложения. Мы в редакции «Туподара» проверили как это работает на своих учётных записях — и у нас всё удалось.

Найденную уязвимость прокомментировал разработчик из Краснодара Марк Небесный @_nebesniy.

🗣️ «Получить пароль какого угодно аккаунта через пуш появилась сразу же, как только приложение “Городские парковки” в начале июля было перевыпущено в App Store и Google Play от имени МКУ ЦМДДТ мэрии Краснодара.

Думаю, что это было сделано специально, потому что за SMS-шлюз надо платить, а пуши бесплатные. Но через пуши ваш пароль может получить любой человек, даже не владелец номера. Это огромный удар по безопасности, поскольку злоумышленники могут перебрать все номера, отыскать аккаунты с положительным балансом и аннулировать его.

Рекомендую пользователям приложения никогда не зачислять деньги впрок, а только сумму, необходимую для оплаты парковки в эту минуту. Я рассказал об уязвимости администрации муниципальных парковок. Поразительно, что больше месяца дыру такого масштаба не закрывают, хотя о ней разработчик не мог не знать».

Подчеркнём, уязвимость существует в обеих версиях приложения — и для Android, и для iOS.

Поделись этой записью в соцсетях

Ответить

Specify Facebook App ID and Secret in the Super Socializer > Social Login section in the admin panel for Facebook Login to work

Specify Twitter Consumer Key and Secret in the Super Socializer > Social Login section in the admin panel for Twitter Login to work

Specify Google Client ID and Secret in the Super Socializer > Social Login section in the admin panel for Google Login to work

Specify Vkontakte Application ID and Secret Key in the Super Socializer > Social Login section in the admin panel for Vkontakte Login to work

Specify Instagram App ID and Instagram App Secret in the Super Socializer > Social Login section in the admin panel for Instagram Login to work

Ваш адрес не будет опубликован. Поля, требующие заполнения, помечены *