Domanda:
Devo contattare il produttore se il suo prodotto consente l'accesso alle informazioni sulla posizione di altri utenti?
Lil' Bits
2017-01-10 03:18:48 UTC
view on stackexchange narkive permalink

Recentemente ho acquistato un comunicatore satellitare che mi consente di inviare una mappa della mia posizione ad amici e parenti mentre faccio escursioni nella natura selvaggia.

Durante il test del mio prodotto, ho notato che l'URL è stato costruito come segue:

  http://www.example.com/mylocation/?id=YYYYY/XX.XXXXN/XX.XXXXW  

Dove le X sono cifre che fanno parte di una latitudine / longitudine fisica e le Y fanno parte di un ID alfanumerico di 5 caratteri.

Essere curiosi , Ho troncato la parte di latitudine / longitudine dell'URL e ho cambiato l'ID di un carattere.

  http://www.example.com/mylocation/?id=YYYYZ  

In questo modo, ho potuto vedere un utente diverso:

  • posizione fisica di latitudine / longitudine su una mappa
  • nome del dispositivo (qualunque cosa abbiano scelto di chiamalo; la maggior parte delle persone ha qualcosa come "Harry's GPS")
  • messaggio preimpostato personalizzato utilizzato durante l'invio della loro posizione, se ne hanno uno impostato (es: "Check-in - Sono al sicuro").

Le mie domande è, si tratta di un difetto di sicurezza e l'azienda dovrebbe essere avvisata di questo?

Il mio argomento per contattare l'azienda sarebbe che vedere le posizioni fisiche di altri utenti è un vistoso difetto; tuttavia, questo è l'intero punto del prodotto: condividere facilmente la tua posizione con la tua famiglia / i tuoi amici. Inoltre, non riesco a vedere a chi appartiene effettivamente il dispositivo (nome, numero di telefono, nome utente, e-mail e così via), quindi i dati sulla posizione sono resi anonimi per quanto ne so.

Vai a fare una ricerca per "divulgazione responsabile" in modo da conoscere il modo corretto per farlo per limitare la tua responsabilità personale.
@MobyDisk La responsabilità personale è un problema qui?Questo è un problema ovvio, palesemente insicuro, ben noto, sciatto, che si verifica spesso.Chiederei semplicemente un richiamo / rimborso direttamente da loro e acquisterei un prodotto della concorrenza.Non devi dire che hai cambiato l'ID.Puoi solo sottolineare che questa è una vulnerabilità ben nota
Puoi considerare quali vantaggi puoi ottenere dal raccontare loro.Chiaramente non sei obbligato a dirglielo poiché stai facendo questa domanda.
Segnalalo in forma anonima, se rispondono positivamente puoi sempre rivelare la tua identità in seguito.Se cercano di citare in giudizio o nascondere il problema, puoi rivelare pubblicamente la vulnerabilità.
C'è essenzialmente zero probabilità che non siano già a conoscenza di questo problema - è una caratteristica così ovvia del progetto che anche se non è strettamente intenzionale, deve essere una limitazione nota della "sicurezza" del prodotto.Quindi quasi certamente, letteralmente * non puoi * avvisarli del problema.Nella migliore delle ipotesi puoi avvisarli che anche tu l'hai notato personalmente.Penso che questo elimini abbastanza bene qualsiasi responsabilità che potresti sentire di rivelare al produttore.Potresti voler dire al pubblico, se il produttore ha fatto false dichiarazioni sulla sicurezza.
@SteveJessop Ho incontrato programmatori che codificavano una vulnerabilità come questa senza saperlo e processi di revisione del codice disfunzionali che ne avrebbero consentito l'implementazione.Avvisarli potrebbe essere utile.
@SteveJessop In effetti, questo accade così spesso che è nella OWASP Top Ten - A4 (Insecure Direct Object References)
Puoi pubblicare un follow-up in modo che possiamo ascoltare la risposta dell'azienda?
Penso che, come sempre, sia importante notare che nessuna di queste risposte, anche se menzionano aspetti legali e potenziali problemi, costituisce una consulenza legale.
@JanDoggen Sì.Non passa settimana in cui non vedo una notizia su un ricercatore di sicurezza citato in giudizio per aver rivelato una vulnerabilità di sicurezza.
potresti fare il contrario, dire loro che qualcun altro ti sta perseguitando dopo aver acquistato il dispositivo, e quello stalker ha finalmente ammesso di aver indovinato il tuo ID utente e vuoi indietro i tuoi soldi.
@SteveJessop Non penso sia molto utile fare tali supposizioni senza supportarle con ... qualcosa / qualsiasi cosa
Considera l'idea di modificare gli URL in http://www.example.com?-----.com il dominio ora non è disponibile, ma non vi è alcuna garanzia che rimarrà tale per sempre, mentre example.com e example.org dovrebbero essere domini sostitutivi permanenti e sicuri al 100% per la documentazione.
@Mołot l'ho cambiato in "example.com"
@kryten Se volessi segnalarlo in modo anonimo, avrei bisogno di essere sicuro che non sarebbe riconducibile a me.Vorrei inviare loro anche questo thread di discussione, poiché potrebbe essere loro utile.Tuttavia, mi chiedo se la segnalazione valga [valgono le possibili conseguenze] (http://security.stackexchange.com/a/6370/44995).Non sono una grande azienda, ma preferirei che le mie cose non venissero razziate per manipolare gli URL.Avviserò il thread se / quando li contatto e posterò la risposta.
in che modo quel dispositivo è abilitato a inviare dati?ha la carta SIM o cosa?cosa devo cercare per trovare tali dispositivi?
Dieci risposte:
#1
+158
LSerni
2017-01-10 03:54:07 UTC
view on stackexchange narkive permalink

Sì, dovresti segnalare il problema all'azienda, con cautela.

Aggiornamento: una risposta più breve ma molto completa è stata fornita da @crovers . Ma se hai pazienza ...

... il problema qui non è semplicemente la possibilità di rintracciare J. Random Stranger, ma piuttosto questo:

  • una volta che il tuo ID è stato consegnato a qualcuno, apparentemente non puoi ritirarlo e non scade. Quella persona ora può seguirti ovunque (pensa a " fidanzata eccessivamente attaccata"). Inoltre, quell'ID potrebbe perdere. Le email vengono inoltrate per errore ea volte il piccolo glifo ... facilmente supervisionato nei programmi di posta copre molte informazioni sensibili.

  • anche bisogno di darmelo . Se gli ID sono sequenziali [come commentato da @crovers], posso classificarli tutti in pochissimo tempo, controllare la loro posizione e individuare facilmente quei cinque o sei che sono abbastanza vicini alla posizione So che potresti essere dentro. Domani, altri cinque o sei saranno abbastanza vicini a un posto diverso in cui ti trovi ora; di quei cinque, forse due erano nei cinque originali, quindi devi essere uno di quei due. In un tempo relativamente breve ho ristretto i miei candidati a uno : ora ho il tuo ID e posso perseguitarti, e tu non sei più saggio .

  • Potrei anche non conoscerti . L'ID può essere utilizzato per scherzare con dei perfetti sconosciuti. Ho appena cercato su Google e ho trovato un paio di migliaia di utenti Facebook che si vantavano del loro nuovo (NOME DEL GADGET CORRELATO AL GPS). Ho utilizzato un marchio molto noto, quindi il tuo gadget avrà forse solo un centinaio di persone che posso scoprire facilmente. La metà completa di questi, sono sicuro, pubblicherà regolarmente immagini su dove si trovano ( Facebook elimina le informazioni GPS EXIF? ). In pochissimo tempo, uno di loro che ha attirato la mia fantasia potrebbe ricevere un messaggio che dice "Com'è il tempo a Old Nowhereville?" anche se lui (o lei) non ha mai detto nulla a nessuno riguardo a dove si trovava, né pubblicato nulla da nessuna parte. Questi scherzi - e sapere che un perfetto sconosciuto è apparentemente interessato a te e sembra sempre sapere dove sei - possono rovinarti totalmente la giornata. rovinare totalmente la giornata dell'azienda, se qualche persona scherzosa si convinca che il proprio GPS può essere in qualche modo "hackerato da remoto", anche se, come in questo caso, non è proprio quello che sta succedendo. Sì, ho una mente malata - ma non sono l'unico, quindi potresti voler indirizzare i dipendenti dell'azienda a questa pagina - e, per ribadire un altro punto molto positivo fatto da @crovers e Arminius, fallo in modo anonimo. Il potenziale danno per loro è enorme e stai facendo loro un grande favore indicando loro questo . Ma alcune aziende potrebbero avere una reazione (istintiva) e cercare di costringerti a tacere credendo che questo risolva qualcosa (o addirittura risolve completamente la questione); La storia del premio Nobel Richard P. Feynman è una lettura esilarante (" Questa era la sua soluzione: ero io il pericolo! ").

In realtà li stai aiutando.

  • fidati di me, tantissime persone farebbero esattamente quello che hai fatto tu quando vedi "id = XXXXX" in un URL. Io l'avrei fatto. A seconda della popolarità del gadget, scommetto che molti altri lo avranno già fatto. Quindi non è che tu stia scatenando un'apocalisse zombi su qualcuno che altrimenti sarebbe rimasto al sicuro - probabilmente sarai semplicemente il primo ad aver avuto la coscienza di dirgli che non sono affatto al sicuro . Perché è molto più raro che avere la curiosità di cambiare un ID.

Non doveva assolutamente essere così.

È banalmente semplice, dal punto di vista dell'azienda, risolvere questo problema consentendo a ciascun utente di rigenerare un ID segreto diverso su richiesta ogni volta che lo desidera. E persino impostare una data di scadenza. E potrebbero ancora farlo adesso .

Una soluzione molto rapida potrebbe essere quella di eseguire il proxy del loro sito web tramite un semplice filtro, collegato a un database.

Il tuo nuovo URL è, ad esempio, http://www.example.com/mylocation/?id=22b255b332474ae3e7f008cc50ebe3e0& ...

oppure si potrebbe tradurre quello a "true.pony.pile.main.jazz.call.mine.soft.pink.rake.jane" per ottenere qualcosa di più facilmente ricordato o dettato da un telefono.

le prime quattro parole sono in qualche modo collegate alla "graffetta corretta della batteria del cavallo" .

Il proxy controlla in un database e trova che 22b255b332474ae3e7f008cc50ebe3e0 è un ID valido ed è associato all'ID "reale" (o "vecchio") 12345 , quindi trasforma l'URL semplicemente sostituendo l'ID con 12345, invia la richiesta al sito web vero e nascosto, recupera la pagina, riscrive qualsiasi 12345 con la roba originale 22b2 ... e hey presto! , l'esterno l'utente può vedere dove sei, stessa pagina di prima, ma non ha modo di sapere che il vero ID è 12345 (e, anche se lo sapesse, non avrebbe modo di farlo passare al sistema, che ora accetta solo hash ).

Ma ora, l'utente 12345 può avere tutti gli ID attivi che l'azienda vuole (o vende !) e darne uno a sua madre, uno al suo SO e presto. Un ID trapela, o rompe con il suo amico - lo invalida. Diventa anche possibile sapere quanti accessi ci sono stati ad ogni ID, quindi lo snooping può essere bidirezionale. Forse solo per utenti premium :-D. Per alcuni ID, il sito web potrebbe persino rilasciare informazioni casuali o coordinate GPS a bassa precisione.

E se volessi indovinare a caso un ID valido, beh, ce ne sono circa 2 128 . Se ogni cliente avesse cento ID usa e getta (ad esempio 2 7 ) e l'azienda avesse un miliardo di clienti (ad esempio 2 30 ), ci sarebbe ancora circa una possibilità su 2 90 per ottenere un ID valido provando a caso. Se è troppo poco (o se la mia matematica è un po 'storta), ci sono anche hash più grandi.

E il vecchio ID non funziona più poiché non puoi raggiungere il server originale senza l'ID che hai fornitura che viene sottoposta ad hashing.

Dato il ragionevole costo di implementazione (un paio di giorni per uno sviluppatore e un ingegnere addetto al controllo qualità, e sto riempiendo pesantemente ), un po ' sconcertato dal fatto che questo non sia stato progettato dall'inizio.

"È banalmente semplice, dal punto di vista dell'azienda, risolvere questo problema consentendo a ciascun utente di rigenerare un ID segreto diverso su richiesta." - Credo che l'ID alfanumerico in questione venga rigenerato per ogni aggiornamento.È un ID aggiornamento, non un ID utente.
@kundor, Non lo so.È descritto come un * ID alfanumerico di 5 caratteri *;non è davvero molto anche se è un incrementale (e quindi potrebbe diventare un id alfanumerico di 32 caratteri con il tempo).Il problema con la prevedibilità rimane.
Che si tratti di un ID di aggiornamento o di un ID utente, il principio generale che hanno scelto di non seguire è che gli ID rivolti al pubblico dovrebbero essere abbastanza grandi e (pseudo) abbastanza casuali da essere indovinabili.Le informazioni personali rivolte al pubblico dovrebbero * anche * essere revocabili / cancellabili.Quindi, anche se si tratta solo di un ID di aggiornamento, in modo che l'impatto sia inferiore a quanto dichiarato qui, è ugualmente fastidioso che non lo abbiano fatto correttamente.
@LSerni - sì, Facebook elimina i dati EXIF.In generale, questo è qualcosa in cui i social media ei siti di condivisione di foto sono stati storicamente molto bravi per molto tempo.Sono anni che eliminano i metadati delle foto.
C'era una volta un sito di incontri che aveva questa vulnerabilità, ma peggio.Potresti andare su example.com/profile.php?id=xxxxx e modificare il loro profilo senza nemmeno avere un account a pagamento.(grazie @Mołot)
Facebook conserva i dati GPS EXIF e chiede se desideri taggare la posizione come quella trovata nei metadati dell'immagine.È inquietante e fastidioso.
Uno stupratore potrebbe cercare tutti i nomi femminili, quindi perseguitarli fino a quando non si trovano in un luogo appartato.
@niemiro Anche se dubito che lo abbiano fatto con l'intento in discussione qui.Probabilmente volevano piuttosto sbarazzarsi di tutte le informazioni sul copyright e mentre ci sono rimuovere del tutto EXIF per ridurre al minimo le dimensioni del file durante il ridimensionamento comunque;)
Immagino che sia solo una questione di tempo prima che il termine "CHBS", pronunciato "chubs", venga istituito per rappresentare la generazione di passphrase di parole di dizionario casuale associate semanticamente.
@hBy2Py, non hai cercato su google "xkcd chbs"?:-)
@LSerni Conosco bene quel fumetto;Non sapevo che l'acronimo fosse già stato standardizzato.Ops.MrGreen
@LSerni È interessante notare che *** non posso *** Google "xkcd chbs".Continua a darmi risultati di ricerca per "xkcd cubs", anche quando clicco su "Cerca invece di xkcd chbs".
@Chloe vengono visualizzati solo i nomi dei dispositivi.Una persona intelligente utilizzerà un nome di dispositivo generico.La maggior parte dei dispositivi sarà difficile da determinare se sono maschi o femmine.In effetti, uno stalker potrebbe avere un momento molto difficile.Il vero problema è qualcuno che sta perseguitando qualcuno che conoscono o * stanno già perseguitando *.E penso che l'altra opzione ... attaccheranno qualcuno a caso.Non credo che abbiano bisogno di perseguitare qualcuno per giorni.
#2
+116
crovers
2017-01-10 03:35:19 UTC
view on stackexchange narkive permalink

Sì. Dovrebbero usare una stringa lunga e indovinabile invece di una breve e prevedibile.

Considero questo un difetto di sicurezza che è relativamente semplice da correggere per loro.

Tuttavia, Ti avverto: alcune aziende non gestiscono molto bene situazioni come questa. Alcuni sostengono (a mio avviso in modo errato) che la modifica di tale ID costituisce un pirata informatico e potrebbero minacciare di farti causa o farti pagare. È stupido, ma ti consiglio di avvicinarli in modo anonimo o tramite un intermediario.

Controlla se hanno un programma di taglie - (nome dell'azienda google e bug bounty). Se non lo fanno, potresti prendere in considerazione l'idea di utilizzare un intermediario: Zero Day Initiative è uno di questi.

Sì, stai molto attento![I tribunali statunitensi] (https://security.stackexchange.com/a/6368/15392) (ri: AT&T) sono tra quelli che credono che la modifica dell'ID sia illegale!
+1 per essere andato dritto al punto sulla correzione, che per me è relativamente poco interessante rispetto alla maggiore enfasi sul "sì, ma" sul rischio per il giornalista di possibili atteggiamenti reazionari dell'azienda.La domanda era "Devo segnalarlo?", Non "Come avrebbero dovuto farlo?", E quindi penso che questo colpisca l'obiettivo in modo più sintetico.
Ma scoprire un problema di sicurezza e segnalarlo all'azienda senza utilizzarlo non sarebbe considerato un hacking etico per definizione?
@Neinstein Quando si sente "hacking etico" alcune persone sentiranno "etico" e altri sentiranno solo "hacking".
@Neinstein: Il rischio negativo per la persona che lo fa ruota attorno al fatto che "l'hacking etico" può ancora essere perseguito, poiché non tutto ciò che è etico è legale.Essere un martire per la causa di una migliore sicurezza è una cosa bella e nobile, ma non dovresti comunque sbagliarti accidentalmente ;-)
Mi interesserebbe sapere come approcceresti qualcuno in modo anonimo?Vorresti semplicemente impostare un nuovo indirizzo email - sembra che molti richiedano un indirizzo + cellulare che ti rendano abbastanza facile da rintracciare?
Se l'hacking è contro la legge, è presumibilmente un crimine indipendentemente da ciò che fai dopo.Probabilmente è un hacking etico, ma etico e legale sono due cose diverse. L'hacking legale ed etico normalmente implica ottenere il permesso in anticipo dal proprietario del sistema remoto che viene violato, o acquistare un dispositivo e hackerarlo, quindi stai violando la tua proprietà.
Potrebbe essere formulato come "Stavo giocando con il mio URL e ho notato che il long / lat rimosso non ha influito sulla visualizzazione della mia mappa [poiché questo è ancora il TUO ID che stai inserendo], e temo che se qualcun altroinserito il mio id nell'URL che avrebbero potuto rintracciarmi ".In questo modo, sembra che tu ti preoccupi della tua sicurezza.Potrebbe anche essere semplicemente formulato come "Ho notato che il mio ID, che è un valore breve e prevedibile, era nell'URL ... potrebbe essere un difetto di sicurezza?"
@drewbenn Il caso AT&T viene discusso molto per quanto riguarda la segnalazione, ma per essere onesti nei confronti dei tribunali statunitensi mentre penso ancora che il risultato fosse abbastanza sbagliato, la situazione non era nemmeno lontanamente simile alla segnalazione di una vulnerabilità di sicurezza.Il caso riguardava l'abuso di una vulnerabilità (quasi sorprendentemente altrettanto stupida) per divertimento e fastidio degli altri.Vorrei comunque mettere in guardia le persone sulla segnalazione poiché, anche se penso che molto probabilmente prevarrai sui meriti, non tutti vogliono scaricare centinaia di ore (e forse denaro anche se ACLU o qualcuno potrebbe occuparsi del caso) per la sicurezza degli altri.
#3
+43
Arminius
2017-01-10 04:46:06 UTC
view on stackexchange narkive permalink

Da aggiungere alle altre risposte: sii consapevole dei rischi di segnalare il problema da solo :

Se non hai esperienza con la segnalazione di problemi di sicurezza, potresti imbatterti in loro come loschi e potenzialmente dannosi. Una società che non ha esperienza nella gestione di problemi di sicurezza potrebbe inoltrare la segnalazione all'avvocato dell'azienda anziché al reparto IT. Ovviamente, vuoi semplicemente aiutare, ma a loro stai principalmente causando problemi. È probabile che non vogliano che il problema diventi pubblico (il che potrebbe causare gravi danni alla loro reputazione aziendale) e quindi potrebbero minacciarti con conseguenze legali. Nel peggiore dei casi contatteranno le forze dell'ordine senza ulteriore avviso.

Essendo curioso, ho troncato la parte lat / lon dell'URL e ho cambiato l'ID di un carattere.

Quindi non l'hai trovato per puro caso. Dal punto di vista dell'azienda hai ottenuto l'accesso ai dati di altri clienti manipolando l'URL: non importa quanto sia stato facile e che l'hai fatto "solo per curiosità". Potrebbero ancora vederti come una minaccia e reagire in modo non professionale.

Dovresti essere consapevole di questa possibile interpretazione e decidere attentamente se vale la pena rischiare. Se gestisci bug di sicurezza senza un contratto o una politica pubblica che incoraggia la ricerca di bug, ti trovi in ​​una zona grigia legale.

... e una * zona grigia * che è stata occasionalmente bombardata con entusiasmo da varie società nel recente passato, come altri hanno sottolineato :-(
#4
+23
satibel
2017-01-10 19:52:28 UTC
view on stackexchange narkive permalink

Se fossi in te, direi qualcosa come

  Ciao, ho digitato male il mio ID (ad es. 12345) e ho premuto Invio invece di Backspace, e sono rimasto sbalordito nello scoprire che la pagina caricato e trovato la posizione di uno sconosciuto che ha l'ID accanto al mio (es. 12346). Essere in grado di rintracciare qualcuno senza il suo permesso sembra essere un problema di sicurezza, come sarebbe qualcuno che mi conosce su Facebook con un po 'di conoscenza IT in grado di indovinare il mio ID senza che io lo sappia.  

Fondamentalmente, dì che l'hai trovato non per curiosità ma per caso. Invialo anche in modo pseudo anonimo (ad esempio, non usare il tuo vero ID e la posta usando qualcosa come [email protected]).

Controlla la tua posta prima di inviarla e magari fai in modo che qualcuno che conosci la legga per prova .

Leggilo come se fossi la rabbia personificata, questo potrebbe aiutarti a smorzarla in modo da non permettere a qualcuno che ha iniziato la sua giornata sbattendo l'alluce sul palo del letto di sfogare la sua rabbia su di te.

Se non rispondono, o non fanno nulla per un po 'di tempo, dì (magari dopo un mese o due, poiché si tratta di un problema di sicurezza medio) che vorresti che facessero qualcosa o proverai ad avvertire gli altri utenti di questo problema. Se non fanno ancora nulla, fallo, ma attenzione, potrebbe non piacergli. vedi questo caso Zamfoo

Insisti sul fatto che se lo trovi banale come questo, qualcuno di peggio potrebbe usarlo per scopi nefasti, e altri utenti potrebbero essersi imbattuti in questo ed essere preoccupati .

Usa il buon senso in modo da apparire come un utente preoccupato che è incappato in qualcosa di strano o un amico di quell'utente, anche questo funziona. Un po 'di "falsità", molta calma e cortesia fanno molto per testare le acque. Se sembrano abbastanza amichevoli, potresti dire che sei competente (se lo sei) e puoi aiutarli a rintracciare il problema.

Se li aiuti e sono amichevoli, potresti chiedere loro se vogliono che tu controlli attivamente altri potenziali problemi. (Se hanno una grande esperienza con te che potrebbe aiutarti a trovare un lavoro (possono parlare di te, di quanto sei bravo (amichevole ma professionale) ecc. Ad altre persone che potrebbero volerti. O solo servire come riferimento), o alcuni amici.)

Anche questa è un'occasione per ottenere pubblicità gratuita, se reagiscono bene, probabilmente sarai propenso a parlarne a persone che potrebbero essere interessate.

Qualunque cosa tu e loro facciate, mantenete la calma, non intensificate rapidamente, comprendete il loro punto di vista e NON APPARIRE COME UNA MINACCIA (1)

Se sembri puoi danneggiarli più di quanto potresti aiutare, è il modo più rapido per metterli sulla difensiva e ottenere minacce da un avvocato / un caso reale se hai fatto qualcosa di stupido e non hai coperto i tuoi motivi.

(1) Questo funziona nella maggior parte dei casi, non solo quando si parla di sicurezza, ma anche con persone più o meno arrabbiate (colleghi, capi).

Divagazione: l'unica volta che potresti voler apparire come una minaccia, è se sei minacciato da qualcuno / qualcosa di sicuro che nulla si opporrà mai a loro (ad esempio un cane molto arrabbiato), cammina con calma verso di loro senza mostrare paura (anche se ti marroni i pantaloni), probabilmente inizieranno ad abbaiare di più, ma lentamente indietreggeranno e ti lasceranno passare (o ti uccideranno / maul, ma se scappassi sarebbe lo stesso).

ps: Sii critico nei confronti di ciò che dico, sono un umano stupido e non possiedo la verità assoluta, se qualcosa sembra migliore, medita sulle idee, fai ciò che sembra meglio e guarda cosa succede, impara.

(Sentiti anche libero di proporre modifiche se sembra troppo non strutturato / lungo / irregolare, non mordo.)

Se dici "Ho digitato male il mio ID (ad es. 12345)", ciò non distrugge il tuo anonimato?(Perché fornisci il tuo ID?)
@toogley "invialo in modo pseudo anonimo (ad es. Non utilizzare il tuo vero id, [...])"
Questo è un approccio ovvio, ma non posso raccomandare di eludere la verità.Segnalazione anonima, sì.
Indica alla società che sei * preoccupato * che il collega identificato da "12346" possa digitare erroneamente "12345" e vedere la ** mia ** posizione
Invierei loro un messaggio da un'e-mail una tantum registrata tramite TOR e quindi pubblicherei la vulnerabilità tramite TOR se non la risolvono entro poche settimane.È più facile incolpare l '"hacker" che ammettere la colpa, quindi assicurati di essere impossibile (o, per essere precisi) molto difficile da rintracciare.
@JonathanReez questo è un altro modo per farlo, non uno che mi piace perché non hai il vantaggio di forse (probabilmente) stringere buoni contatti se sono amichevoli.Ma se sono troppo compiacenti o pigri, potresti dover usare. nota che solo poche aziende saranno infastidite se le contatti come cliente interessato, se lo sono, scappa da loro.
#5
+6
dark_st3alth
2017-01-10 04:01:54 UTC
view on stackexchange narkive permalink

Tutti gli altri sembrano saltare le armi qui. La parte fondamentale da considerare è COME sei un utente finale, condividi la tua posizione con altri utenti finali (familiari / amici).

Se visualizzi le informazioni con un link e sei in grado di inviare lo stesso collegamento ai membri della famiglia, quindi si presume che tu stia pubblicando informazioni pubblicamente (non esiste un sistema di autorizzazione).

L'Informativa sulla privacy o le Condizioni d'uso dovrebbero specificarlo. Chi può accedere ai dati sulla tua posizione? Quali informazioni vengono fornite pubblicamente? Certamente chiarirebbe la domanda che hai proposto.

Usare un semplice collegamento web non è come progetterei un sistema del genere, ma sembra del tutto intenzionale. Forse ti suggerirei di chiedere informazioni sulle impostazioni sulla privacy.

Da un punto di vista strettamente legale probabilmente hai ragione.Ma resta il fatto che le impostazioni della privacy hanno una sola impostazione, e cioè "nessuna".Dato che si sarebbe potuto aggiungere così tanto valore a così poco costo, trovo non averlo già fatto, beh ... * affascinante *.
Certamente, se dovessi progettarlo, avrei almeno una password tale che solo alcune persone a cui condividi la password abbiano accesso.Non avere sistemi di autenticazione o autorizzazione in atto è decisamente ridicolo, se non un significativo difetto di pensiero.Cos'altro pensi che abbiano dimenticato?
Sono d'accordo che l'utilizzo di un collegamento non è l'ideale qui, ma non è questo il punto.Anche se un utente non condivide il collegamento, altri possono accedere alla loro posizione.Quindi la risposta alle tue domande su chi e cosa sembrano essere tutti e tutto.Dubito che il dispositivo sia pubblicizzato come tale, quindi questo è davvero un difetto di sicurezza.
Il presupposto, tuttavia, è che utilizzando il servizio, si consente ad altri non specificati di accedere alle informazioni sulla posizione.Questo non è buono in pratica, ma per semplicità è molto ragionevole.* Non ci sono scuse per la mancanza di controlli sulla privacy *, ma l'utente si è registrato e ha iniziato a utilizzare il servizio.
#6
  0
iainpb
2017-01-10 03:34:51 UTC
view on stackexchange narkive permalink

Questa è una domanda interessante, nella maggior parte dei sistemi la considererei una vulnerabilità di riferimento diretto non sicura che espone i dati sulla posizione.

La posizione GPS in tempo reale dovrebbe essere considerata sensibile, potrebbe avere molteplici usi nefasti. In questo caso, però, è l'intero punto del sistema e anche se penso che gli ID dovrebbero essere più difficili da indovinare pur rimanendo utilizzabili (essere alfanumerici ad esempio), i dati non sono identificabili da un utente specifico. Potrebbe anche essere protetto da una password che fornisci agli utenti a cui desideri concedere l'accesso.

Non penso che questo sia un rischio per la sicurezza in quanto tale, solo una cattiva implementazione. La domanda è: sentiresti che le tue informazioni o la tua privacy sono state violate se un estraneo ha visitato la tua pagina? Se è così, parlane con il produttore.

Modifica: - Rivisto la mia opinione su questo. Considererei questo sistema vulnerabile. Gli identificatori dovrebbero essere più difficili da indovinare e idealmente protetti da password.

Considera: se qualcuno sa che hai un dispositivo del genere e attualmente conosce la tua posizione fisica.Possono trovare il tuo dispositivo controllando tutti gli ID e trovando il dispositivo che si trova attualmente nella tua posizione.Da quel momento in poi, possono sempre scoprirlo.Penso che questo sia un difetto di sicurezza, per certo.
Buon punto, questo sarebbe abbastanza banale da scrivere e anche enumerare rapidamente.
#7
  0
user3496510
2017-01-10 09:44:12 UTC
view on stackexchange narkive permalink

Questo problema si verifica a causa del riferimento diretto all'oggetto e degli ID facilmente enumerati. Non dovremmo usare ID facilmente enumerati in nessun sistema perché apre facili ipotesi all'aggressore. Se non riesci a indovinare gli ID, possiamo ridurre anche il rischio di riferimento diretto agli oggetti. Dovrebbero avere un valore ID casuale o un GUID per l'utente per rappresentare un utente.

Poiché penso che questo sia un flusso importante e l'azienda dovrebbe fornire alcune API in cui la famiglia / amico si è autenticato prima di poterti rintracciare. Come suggerito da @Arminius, non possiamo prevedere come l'azienda del prodotto accetterà la tua scoperta. È sempre meglio informarlo come Anonimo. In caso contrario, utilizzare un modello o termini di Divulgazione responsabile.

#8
-2
tim_shane
2017-01-10 04:07:39 UTC
view on stackexchange narkive permalink

Non non rappresenta un difetto. Sembra che ritengano che sia un rischio accettabile. Mi chiedo quanto sarebbe facile scorrere a livello di codice gli UID e raccogliere dati a cui fare riferimento per identificare qualcuno. Se hanno appena salato l'ID, potresti comunque condividerlo apertamente, ma non potresti facilmente scorrere le posizioni delle persone.

Totalmente d'accordo.Eppure sospetto che non abbiano pensato al business del rischio.Non è un grande danno se la mia posizione viene trapelata, ma questo può facilmente portare le persone a credere che il gadget sia * insicuro *.Il costo del salting dell'ID è molto più alto del costo di PR di solo * un * grido di allarme su un social network?(Il che farebbe rapidamente germogliare una dozzina di "tutorial" dell'aspirante "l33t crack3rs" - come se non l'avessimo visto accadere troppe volte).
Ottimo punto.Un localizzatore di posizione basato su cloud non dovrebbe essere reazionario ai problemi di sicurezza.È un ottimo modo per rovinare un'azienda.
Per essere chiari: non scrivere ed eseguire quel programma ipotetico.Di conseguenza, il ragazzo che lo ha fatto con il sistema di registrazione per iPad AT&T ha trascorso un paio d'anni in una ** prigione federale ** degli Stati Uniti.
Punto interessante.La maggior parte delle aziende, per ragioni di costo, sottovaluta tali problemi di privacy anche quando ne è a conoscenza.Dicono "non facciamo niente appena qualcuno segnala. È rischioso ma la riparazione è costosa".Solo una forte autorità di regolamentazione supportata da un'adeguata legge sulla privacy può obbligare le aziende a rispettare gli standard.Questo * a volte * accade nell'UE, ma quando si tratta di piccole imprese è molto difficile che agiscano o vengano sanzionate in tempo.È tutta un'altra storia quando qualcuno dice "Whatsapp potrebbe divulgare dati sensibili" rispetto a "ACME potrebbe divulgare dati sensibili"
#9
-2
axawire
2017-01-11 04:06:48 UTC
view on stackexchange narkive permalink

Di recente ho acquistato un comunicatore satellitare che mi consente di inviare una mappa della mia posizione ad amici e parenti mentre faccio escursioni nella natura selvaggia

Sulla base di quanto evidenziato, penso che la persona abbia acquistato principalmente un dispositivo di localizzazione che ha lo scopo principale di aggiornare frequentemente la sua posizione in una posizione pubblicamente disponibile e prevedibile su Internet in modo che cerchi e servizi di soccorso hanno accesso gratuito e facile alle informazioni sulla tua posizione per aiutarti durante il salvataggio.

Non sarei sorpreso se il dispositivo non fosse fornito con una scheda con l'URL prevedibile su di esso o sul luogo di scrivere il tuo ID su di esso per ottenere le informazioni sulla posizione con l'intenzione che questa carta venga poi consegnata alla ricerca e al soccorso dalla tua famiglia quando devi essere salvato.

Se i dati fossero protetti diventerebbero molto più problematico per la ricerca e il salvataggio per ottenere l'accesso. Soprattutto perché il dispositivo può funzionare a livello globale e le leggi sono diverse in luoghi diversi, è del tutto possibile che anche se i membri della famiglia potrebbero fornire le loro credenziali di accesso ai membri del team di ricerca e soccorso, potrebbero non essere legalmente autorizzati a utilizzare le tue credenziali per utilizzare quel servizio. / p>

Un feed aggiornato in tempo reale della tua posizione è anche molto più utile, soprattutto nelle situazioni in cui ci vorrebbe molto tempo per raggiungerti a piedi e la persona con il localizzatore è ancora in giro.

La possibilità di inviare un'e-mail che notifica a qualcuno la tua posizione attuale è un modo per fare il check-in. In assenza di e-mail di check-in dopo x quantità di tempo o in orari specifici o in orari e luoghi specifici, allora è un indicatore per il membro della famiglia da chiamare ricerca e soccorso. Questo è un modo economico per effettuare il check-in senza acquistare un vero telefono satellitare per il check-in mentre sei fuori nel bel mezzo del nulla.

Penso che siano ben consapevoli del fatto che non è protetto e lo considerano anche non un rischio perché è l'intero punto del prodotto, proprio come un'altra persona aveva detto ... è completamente progettato.

Se non desideri essere tracciato, spegni il dispositivo e non aggiornerà più le informazioni sulla tua posizione.

Questo è un sito di sicurezza.E no, "utilizzabile nel deserto" non implica "dovrebbe essere rivolto al pubblico".La comunicazione satellitare è una * necessità * per la connettività nella natura selvaggia.Ciò non implica assolutamente nulla sul modo in cui la connessione dovrebbe essere utilizzata dai clienti.
#10
-4
Evan R.
2017-01-10 05:36:10 UTC
view on stackexchange narkive permalink

Sembra che questo sia il modo in cui il prodotto è stato progettato. Utilizza un UID + LAT / LONG per condividere la tua posizione con le persone ... quindi in pratica stai dicendo che hai scoperto come è stato progettato il prodotto. Nessun difetto lì. Dovrebbero forse implementare un sistema di sicurezza in cui è necessario un PIN o qualcosa per accedere ai dati sulla posizione? sicuro. Ma se lo scopo del prodotto è condividere la tua posizione, allora hai appena scoperto il modo più breve per vedere la posizione di altre persone, che è ... aspetta ... quello per cui è stato progettato.

Se vuoi, invia una richiesta di funzionalità e dì "ehi, dovresti usare PIN o qualcosa del genere perché chiunque può vedere la posizione di qualcun altro, ecc.", ma altrimenti, questo non sembra un difetto in base a ciò che hai descritto.

Altre risposte coprono i difetti in questo: solo perché vuoi condividere la tua posizione ora non significa che vuoi condividerla * per sempre *, e solo perché vuoi condividere la tua posizione con una persona non significa che vuoi condividerecon * tutti *.Dire che questo non è un difetto di sicurezza perché è progettato per condividere i dati sulla posizione è un po 'come dire che un problema in cui è possibile visualizzare i file Dropbox di qualsiasi altro utente non è un difetto in Dropbox, poiché è un servizio progettato per la condivisione di file.
@XiongChiamiov giusto ... ecco perché io, come altri, ho suggerito una password / PIN.Non ho mai detto che fosse il modo migliore per fare quello che stanno facendo, proprio come due barattoli di latta + spago probabilmente non sono il modo migliore per comunicare a lunga distanza.Funziona per quello che volevano, ma non è il modo più sicuro / ottimale per farlo.
A giudicare da OP, sembra che non abbia bisogno di LAT / LONG per funzionare: solo l'UID sembra fornire la posizione su una mappa (ad esempio LAT / LONG viene inserito nel backend e quindi popolato, probabilmente per alimentare i datiil frontend in modo che il frontend possa capire mostrando correttamente la mappa).


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...