Cómo un desarrollador hackeó una aplicación de Android para conseguir una cerveza gratis

¡Imagina hackear una aplicación de Android solo para conseguir una cerveza gratis! Esto es lo que hizo Kuba Gretzky, un desarrollador de Polonia, y se ganó una cerveza fría.

La mayoría de los pubs y restaurantes de todo el mundo ofrecen cervezas gratis, cenas o cupones de almuerzo en su aplicación de Android para atraer a clientes potenciales. Gretzky pensó que valdría la pena hackear tal oferta y obtener algo a cambio. En una publicación en BreakDev.org, Kuba Gretzky explica cómo hackeó la aplicación de Android EatApp para eludir el beacon y ganarse una cerveza gratis.

Aparentemente, los pubs y restaurantes en Polonia utilizan Beacons Bluetooth para verificar compras en una aplicación de smartphone y otorgar puntos y recompensas. Gretzky hackeó las señales de transmisión y se ganó una cerveza.

Gretzky dice en su publicación de blog: “como ejemplo, uno de los lugares te ofrece una cerveza gratis por 5 puntos y cada cerveza comprada te otorga 1 punto. Eso te da una cerveza gratis por cada 5 cervezas compradas en ese lugar.

Aquí está cómo lo hizo

Los beacons Bluetooth son sensores inalámbricos que transmiten señales de radio que son captadas por smartphones para desbloquear micro-localización y conciencia contextual. Esto ayuda a los restaurantes y pubs a verificar compras y también a premiar a los clientes con puntos, ofertas y cupones. Gretzky descubrió que la mayoría de estos beacons en Polonia son fabricados por una empresa llamada Estimote.

Gretzky estudió la documentación de la aplicación de Estimote, que le proporcionó información sobre la información que transmite el beacon. Además, tuvo acceso a una biblioteca de Android para simplificar la escucha de las transmisiones del beacon a través de cualquier aplicación. Luego descubrió que el rango de transmisión es de hasta 70 metros, por lo que, en teoría, los valores transmitidos que probablemente se utilizan para autorizar recompensas se transmiten por el aire.

Una vez que pudo afinar el rango, utilizó la aplicación de desarrollador para recopilar información crítica del beacon. Luego utilizó el proxy de Windows HTTP/HTTPS Fiddler para poder interceptar y descifrar la comunicación HTTPS desde el teléfono en el restaurante para aprender cómo la aplicación se comunica con el servidor.

Una vez que Fiddler estuvo configurado, pudo interceptar el tráfico de la aplicación pública ya que no habían implementado el pinning de certificados. Sin el beacon del restaurante objetivo cerca, Gretzky utilizó el place_id del lugar en su lugar, pero no pudo adivinar el PIN de cuatro dígitos asociado.

Mientras intentaba forzar el PIN de cuatro dígitos, su cuenta fue bloqueada durante 30 minutos después de cinco intentos fallidos. Luego configuró un VPN de interceptación para ser utilizado sobre 3G/4G en su teléfono móvil mientras estaba en el restaurante. Esto requirió un pequeño truco para conectar el VPN en Android 6.0, pero Gretzky comenzó a visitar restaurantes para probar la captura de paquetes en vivo con la aplicación de desarrollador, encontrando éxito en el tercer lugar y recopilando los valores transmitidos para UUID, Número mayor y Número menor.

Gretzky lanzó un script simple para decodificar los paquetes sslsplit en forma de texto claro, lo que le permitió confirmar que los valores eran los mismos en el paquete de autorización de solicitud que los detectados en la transmisión en vivo con la aplicación de desarrollador.

Es más que probable que estos valores se transmitan constantemente por el aire en cada restaurante afiliado, exponiendo múltiples vulnerabilidades a los hackers. Sin embargo, Gretzky estaba contento con la cerveza que ganó a través del proceso.

Ha explicado todo el proceso en su blog aquí.