Como um Desenvolvedor Hackeou um App Android para Conseguir uma Cerveja Grátis

Imagine hackear um App Android apenas para conseguir uma cerveja grátis! Foi isso que Kuba Gretzky, um desenvolvedor da Polônia, fez e ganhou uma cerveja gelada.

A maioria dos pubs e restaurantes ao redor do mundo oferece cervejas grátis, jantares ou cupons de almoço em seus Apps Android para atrair clientes potenciais. Gretzky achou que valeria a pena hackear tal oferta e conseguir algo em troca. Em um post no BreakDev.org, Kuba Gretzky explica como ele hackeou o app Android EatApp para contornar o beacon e ganhar uma cerveja grátis.

Aparentemente, pubs e restaurantes na Polônia usam Beacons Bluetooth para verificar compras em um aplicativo de smartphone para conceder pontos e recompensas. Gretzky hackeou os sinais de transmissão e ganhou uma cerveja.

Gretzky diz em seu post no blog: “como exemplo, um dos lugares oferece uma cerveja grátis por 5 pontos e cada cerveja comprada concede 1 ponto. Isso lhe dá uma cerveja grátis a cada 5 cervejas compradas naquele lugar.

Aqui está como ele fez isso

Beacons Bluetooth são sensores sem fio que transmitem sinais de rádio que são captados por smartphones para desbloquear micro-localização e consciência contextual. Isso ajuda os restaurantes e pubs a verificar compras e também a premiar os clientes com pontos, ofertas e cupons. Gretzky descobriu que a maioria desses beacons na Polônia é fabricada por uma empresa chamada Estimote.

Gretzky estudou a documentação do App da Estimote, que lhe deu informações sobre as informações que o beacon transmite. Além disso, ele obteve acesso a uma biblioteca Android para simplificar a escuta das transmissões do beacon através de qualquer aplicativo. Ele então descobriu que o alcance da transmissão é de até 70 metros, então, em teoria, os valores transmitidos que provavelmente são usados para autorizar recompensas são transmitidos pelo ar.

Uma vez que ele conseguiu afinar o alcance, ele usou o App de Desenvolvedor para coletar informações críticas do beacon. Então, ele usou o proxy Fiddler HTTP/HTTPS para que pudesse interceptar e descriptografar a comunicação HTTPS do telefone no restaurante para aprender como o aplicativo se comunica com o servidor.

Uma vez que o Fiddler foi configurado, ele conseguiu interceptar o tráfego do aplicativo público, já que eles não implementaram o pinning de certificado. Sem o beacon do restaurante alvo por perto, Gretzky usou o place_id do local, mas não conseguiu adivinhar o PIN de quatro dígitos associado.

Enquanto tentava forçar o PIN de quatro dígitos, ele teve sua conta bloqueada por 30 minutos após cinco tentativas falhadas. Ele então configurou uma VPN de interceptação para ser usada sobre 3G/4G em seu telefone móvel enquanto estava no restaurante. Isso exigiu uma pequena solução alternativa para conectar a VPN no Android 6.0, mas Gretzky então começou a visitar restaurantes para testar a captura de pacotes ao vivo com o aplicativo de desenvolvedor, encontrando sucesso no terceiro local e coletando os valores de transmissão para UUID, Número Maior e Número Menor.

Gretzky lançou um script simples para decodificar os pacotes sslsplit em forma de texto claro, permitindo que ele confirmasse que os valores eram os mesmos no pacote de autorização de solicitação que aqueles detectados na transmissão ao vivo com o aplicativo de desenvolvedor.

É mais do que provável que esses valores sejam constantemente transmitidos pelo ar em todos os restaurantes afiliados, expondo múltiplas vulnerabilidades para hackers. No entanto, Gretzky estava feliz com a cerveja que ganhou através do processo.

Ele explicou todo o processo em seu blog aqui.