Comment un développeur a piraté une application Android pour obtenir une bière gratuite

Imaginez pirater une application Android juste pour obtenir une bière gratuite ! C’est ce que Kuba Gretzky, un développeur polonais, a fait et il s’est offert une bière bien fraîche.

La plupart des pubs et restaurants dans le monde offrent des bières gratuites, des dîners ou des coupons de déjeuner dans leur application Android pour attirer des clients potentiels. Gretzky a pensé qu’il valait la peine de pirater une telle offre et d’obtenir quelque chose en retour. Dans un article sur BreakDev.org, Kuba Gretzky explique comment il a piraté l’application Android EatApp pour contourner le beacon et s’offrir une bière gratuite.

Apparemment, les pubs et restaurants en Pologne utilisent des balises Bluetooth pour vérifier les achats dans une application smartphone afin d’attribuer des points bonus et des récompenses. Gretzky a piraté les signaux de diffusion et s’est offert une bière.

Gretzky dit dans son article de blog : « à titre d’exemple, l’un des endroits vous offre une bière gratuite pour 5 points et chaque bière achetée vous accorde 1 point. Cela vous donne une bière gratuite pour chaque 5 bières achetées dans cet endroit. »

Voici comment il a fait

Les balises Bluetooth sont des capteurs sans fil qui diffusent des signaux radio captés par les smartphones pour déverrouiller la micro-localisation et la sensibilisation contextuelle. Cela aide les restaurants et les pubs à vérifier les achats et à récompenser également les clients avec des points, des offres et des coupons. Gretzky a découvert que la plupart de ces balises en Pologne sont fabriquées par une entreprise appelée Estimote.

Gretzky a étudié la documentation de l’application Estimote qui lui a donné des informations sur les données que la balise transmet. De plus, il a eu accès à une bibliothèque Android pour simplifier l’écoute des diffusions de balises via n’importe quelle application. Il a ensuite découvert que la portée de diffusion est jusqu’à 70 mètres, donc en théorie, les valeurs diffusées qui sont probablement utilisées pour autoriser les récompenses sont diffusées dans l’air.

Une fois qu’il a pu se concentrer sur la portée, il a utilisé l’application développeur pour recueillir des informations critiques de la balise. Ensuite, il a utilisé le proxy Windows HTTP/HTTPS Fiddler afin de pouvoir intercepter et déchiffrer la communication HTTPS du téléphone dans le restaurant pour apprendre comment l’application communique avec le serveur.

Une fois Fiddler configuré, il a pu intercepter le trafic de l’application publique puisque la fixation de certificat n’avait pas été mise en œuvre. Sans la balise du restaurant cible à proximité, Gretzky a utilisé l’identifiant de lieu du lieu, mais n’a pas pu deviner le code PIN à quatre chiffres associé.

En essayant de forcer le code PIN à quatre chiffres, son compte a été verrouillé pendant 30 minutes après cinq tentatives infructueuses. Il a ensuite configuré un VPN d’interception à utiliser sur 3G/4G sur son téléphone mobile tout en étant dans le restaurant. Cela a nécessité un léger contournement pour connecter le VPN sur Android 6.0, mais Gretzky a ensuite commencé à visiter des restaurants pour tester la capture de paquets en direct avec l’application développeur, trouvant du succès dans le troisième lieu et collectant les valeurs diffusées pour UUID, Major number, et Minor number.

Gretzky a publié un script simple pour décoder les paquets sslsplit en texte clair, lui permettant de confirmer que les valeurs étaient les mêmes dans le paquet d’autorisation de demande que celles détectées dans la diffusion en direct avec l’application développeur.

Il est plus que probable que ces valeurs soient constamment diffusées dans chaque restaurant affilié, exposant de multiples vulnérabilités aux hackers. Cependant, Gretzky était heureux de la bière qu’il avait gagnée grâce à ce processus.

Il a expliqué l’ensemble du processus sur son blog ici.