In klant fan Cox Communications, de tredde grutste kabeltelevyzje-oanbieder yn 'e Feriene Steaten en ien fan 'e grutste breedbânoperators mei 6.5 miljoen abonnees, publisearre de resultaten fan eksperiminten mei de ynterne Web API fan 'e provider, tagonklik foar eksterne oanfragen en brûkte ûnder oare dingen , foar helpdesk tagong ta abonneemodems en brûkersbasis. It die bliken dat jo allinich it MAC-adres fan it abonnee-apparaat witte kinne jo folsleine kontrôle krije oer it modem, wêrtroch jo ynstellings kinne feroarje en alle kommando's op it modem útfiere. Yn essinsje kin elke oanfaller tagong krije ta it modem, fergelykber mei de technyske tagong dy't de helpdesk fan in ferfierder krijt.
It is opmerklik dat it MAC-adres fan it abonnee-apparaat kin wurde fûn troch tagong te krijen ta de iepenbiere Web API sûnder autentikaasje, mei help fan de abonnee-sykfunksje, bygelyks troch in e-post- of akkountnûmer te selektearjen (troch troch de nûmers te sykjen, kinne jo sequentieel downloade klantgegevens). Neist it MAC-adres wurdt oare ynformaasje oer de abonnee werjûn, ynklusyf adres, telefoannûmer, folsleine namme en e-post. Alle ynformaasje is beskikber foar oanfragen fan it eksterne netwurk sûnder autentikaasje. Yn dit gefal kin ynformaasje net allinich wurde krigen, mar ek feroare. Yn totaal hat de publyklik tagonklike API mear as 700 handlers, wêrfan in protte administraasje operaasjes útfiere.
In fersifere parameter waard brûkt om de oerdracht fan kommando's en ynstellings nei modems fan brûkers te kontrolearjen, mar de fersiferingsfunksjes waarden fûn yn ien fan 'e JavaSkript skripts levere troch webcdn-business.cox.com. De fersiferingskaai waard bepaald troch it ynstellen fan in brekpunt op dizze funksjes yn 'e JavaScript-debugger fan' e browser by registraasje op 'e webside myaccount-business.cox.com. De fersiferingskaai is oanmakke mei it MAC-adres, apparaat-ID en brûkersaccountnûmer, lykas ferskate helpparameters, lykas it apparaatmodel en it type tagong.
It oanfalssenario komt del op it sykjen nei in slachtoffer fia in iepenbiere Web API, mei in fersyk op namme, telefoannûmer, e-post of akkountnûmer. Folgjende, de oanfaller tagong ta de Web API te downloaden de folsleine set fan persoanlike gegevens fan de abonnee, mei help fan de UUID krigen tidens it sykjen op it earste stadium. Mei help fan it MAC-adres fan it modem, spesifisearre ûnder de abonneegegevens, kin in oanfaller de list sjen mei apparaten dy't ferbûn binne mei it modem, alle parameters op it modem feroarje, it wachtwurd oanfreegje dat wurdt brûkt om te ferbinen mei Wi-Fi, en alle kommando's op it apparaat útfiere. dat kin wurde tapast, bygelyks, te organisearjen analyze of omlieding fan brûkersferkear.
Boarne: opennet.ru
