Domino باگ امنیتی‌ای را در نرم‌افزار اندروید خود رفع کرد که به مهاجمین اجازه‌ی سفارش پیتزای رایگان میداد. در ادامه با ایمن وب همراه باشید.

محقق امنیتی انگلیسی، Paul Price وقتی مشغول بالا و پایین کردن نرم‌افزار سفارش پیتزای Domino‌ بود، قصد کشف الگوریتم انتصاب تخفیف‌های تصادفی ده یورویی روی برخی از سفارش‌ها را داشت.

اما او به مسئله‌ای برخورد که کد تخفیف بی‌معنی شد! Price‌ اینگونه توضیح داد:

پس از بررسی کردن نرم افزار و آنالیز تراکنش‌هایش متوجه شدم که تمام مراحل در خود نرم‌افزار انجام می‌شود!

همیشه باید کارهای مهم و حیاتی چون، پرداخت، کنترل عضویت، صلاحیت اطلاعات ورودی و .. در سمت سرور انجام شود تا مهاجمین نتوانند در آن اختلال ایجاد کنند.

اما Domino، حتی پرداخت را در نرم‌افزارش بررسی می‌کرد. سپس او با ورود اطلاعات تقلبی و دستکاری نتیجه‌ها توانست یک سفارش موفقیت آمیز بدهد.

پس از انجام سفارش، Price برای اطمینان با Domino تماس گرفت و به او اطمینان دادند که سفارشش ظرف بیست دقیقه به دستش خواهد رسید!

خوشبختانه محققان امنیتی با وجدانند

پس از اینکه پیتزا به درب منزل Price‌ رسید، او اذعان داشت که سفارشی ثبت نکرده ولی مبلغ را نقدی پرداخت می‌کند! پیک پیتزایی هم با خوشحالی پول را گرفت و به Domino بازگشت!

این نخستین باگ پیتزا نبود

در مارس ۲۰۰۹، Domino به دلیل وجود یک باگ کوچک در وب سایتش یازده هزار پیتزای مجانی به مشتریانش فرستاد!

همین اواخر نیز در سال ۲۰۱۴، Domino حاضر به پرداخت باج ۴۰۰۰۰ دلاری به مهاجمین نشد و اطلاعات بیش از ۶۵۰۰۰۰ مشتریانش دزدیده و پخش شد.

در انتها باید از نمونه‌ی Domino درس گرفت و تنها به کاربرد و ظاهر نرم‌افزار قناعت نکرد، هیچوقت نباید به ورودی‌ای که از سمت کاربر می‌گیرید اطمینان کنید.

نظر دهید

234x60