l+f: Pizza für lau auf Lebenszeit - fast
Ein Sicherheitsforscher hat eine Schwachstelle im Bezahlvorgang einer App zum Pizza bestellen gefunden; entscheidet sich dann aber für die helle Seite der Macht.
Eines Abends bestellte der Kryptologe Paul Rice Essen über die Android-Version der Domino's-Pizza-App. Schon länger wunderte er sich, wie die ab und an am Ende einer Bestellung auftauchenden Geldgutscheine generiert werden.
Um das zu ergründen, klinkte er sich als Man in the Middle in die Verbindung ein und belauschte den Datenverkehr. Dabei fiel ihm auf, dass der Gutschein serverseitig generiert wird; der Bezahlvorgang aber ausschließlich auf dem Client abgewickelt wird und somit manipuliert werden kann.
Er probierte eine Bestellung mit einer gefälschten Kreditkartennummer zu bezahlen; was fehlschlug. Anschließend manipulierte Rice eigenen Angaben zufolge lediglich zwei Attribute wie folgt: <reason> ACCEPTED und <status> 1. Schon soll der Bestellvorgang geklappt haben.
Mit schlechtem Gewissen bezahlte er den Pizza-Boten dann aber doch vor Ort. Das Ganze geschah vor drei Jahren, wurde aber erst jetzt öffentlich. Domino's hat die Schwachstelle Rice zufolge längst gefixt.
lost+found: Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security
(des)
