В работе Wi-Fi сети Московского метрополитена найдена уязвимость
Особенности Wi-Fi уязвимости
По словам программиста, при подключении к сети MT_FREE и прохождении авторизации, страница отправляет данные, привязанные к MAC-адресу пользователя. Среди доступных для передачи данных оказались:
- номер телефона;
- пол;
- примерный возраст;
- семейное положение;
- часто посещаемые станции метрополитена.
Владимиру также удалось написать скрипт, выгружающий информацию о находящихся рядом пользователях и отслеживающий их положение в реальном времени.
После обнаружения ошибки Серов попытался сообщить о проблеме «МаксимаТелеком», но реакции провайдера так и не последовало. Затем он написал об утечке на официальный сайт мэра Москвы и в своём блоге на «Хабрахабр». После этого в компании заявили, что устранили передачу данных в формате, который поддаётся лёгкой дешифровке, и попросили разработчика удалить его публикацию.
Однако, по словам Серова, «МаксимаТелеком» не признаёт масштабы уязвимости, и данные пользователей, за исключением телефонного номера, до сих пор находятся в открытом доступе. «Пункты цифрового портрета просто заменили на случайный, но статичный набор символов» — заявил разработчик.
<img class="wp-image-71099 size-full" src="https://cdn.tproger.ru/wp-content/uploads/2018/04/hash.jpg" alt="Wi-Fi" width="702" height="798" srcset="https://cdn.tproger.ru/wp-content/uploads/2018/04/hash.jpg 702w, https://cdn.tproger.ru/wp-content/uploads/2018/04/hash-246x280.jpg 246w" sizes="(max-width: 702px) 100vw, 702px" />
Расшифрованные значения цифрового портрета
Это не первая уязвимость, обнаруженная в технологии беспроводной передачи данных. Напомним, что в октябре 2017 года специалисты обнаружили критическую уязвимость в протоколе защиты Wi-Fi WPA2.
Источник: vc.ru