Tres profesionales de TI alemanes y piratas informáticos éticos han manipulado la aplicación móvil de la famosa cadena de comida rápida para realizar pedidos utilizando vulnerabilidades y fallas que podrían generar hamburguesas, papas fritas y bebidas gratis.
Primer agujero de seguridad: cupones basados en encuestas
Los investigadores Lenny Bakkalian, Mats Tesch y David Albert investigaron sobre la aplicación de McDonald's y encontraron un par de vulnerabilidades que podrían generar cupones y pedidos gratuitos a expensas de la casa. Según VICE , encontraron la vulnerabilidad en el sistema de pedidos que permitía la generación de cupones en base a encuestas.
Los piratas informáticos encontraron un serio agujero de seguridad dentro de la aplicación en noviembre, la razón para llegar a estos agujeros de seguridad fue el interés de investigación de Albert, analizó el sitio web de la encuesta de la cadena de comida rápida con la mayor cuota mundial. Utilizando un programa de software que él mismo desarrolló, pudo automatizar las respuestas de la encuesta, lo que le dio casi infinitos cupones como recompensa.
"El investigador pudo automatizar la encuesta utilizando su software que le dio cupones de bebidas ilimitados como recompensa."
Segundo hueco de seguridad: generador de cupones
Los investigadores también pudieron encontrar otro agujero de seguridad dentro de la aplicación, el generador de cupones también era vulnerable, los piratas informáticos pudieron generar cupones ilegales directamente desde el sistema de generación de cupones que podrían proporcionar un número ilimitado de pedidos de hamburguesas. El hackeo fue probado en la sucursal de Hamburgo con el consentimiento de la administración de la sucursal. Los piratas informáticos pudieron generar 15 pedidos de hamburguesas por valor de 106 euros.
"Los piratas informáticos pudieron generar 15 pedidos de hamburguesas utilizando la vulnerabilidad del sistema de cupones."
Los investigadores realmente manipularon los paquetes de datos a través de su propio servidor proxy, los desarrolladores modificaron los pedidos a través de la aplicación de McDonald's y el monto final de la factura. Los desarrolladores demostraron vulnerabilidades de la aplicación a la administración que se corrigieron dos semanas más tarde.
Fuente: RS News
0 Comentarios