School Hacking - Vulnerabilidade aplicativo Academico Total

" Continuando a série de pesquisas de segurança e levantamentos de vulnerabilidades em aplicativos mobile "

" No seu tempo de ensino médio quem nunca pensou em "invadir" o servidor da sua própia escola, para fazer uma alteração na nota ou numero de faltas, que atire o primeiro "Exploit". "

O Academico Total é um novo aplicativo, que a algumas escolas de Brasília vem adotando, para que os responsáveis estejam acompanhando o andamento do aluno na escola.

Descoberta

Esses dias ao chegar em casa, eu notei o meu irmão verificando algumas notas bimestrais e faltas em um aplicativo de celular, então perguntei pra ele como o aplicativo funcionava, logo após de entender o funcionamento, corri logo para frente do notebook para realizar alguns testes, não demorou muito tempo para encontrar algumas vulnerabilidades graves.

Funcionamento

Cartão de acesso: Existe um painel na portaria da escola que ao passar o cartao no leitor as informações sobre o aluno são exibidas em uma tela no topo do painel, e tambem é cadastrado no banco de dados o horario de entrada e saida do aluno.

Aplicativo: Assim que você entra no aplicativo é solicitado o código academico (código da escola) e a matricula individual que são encontrados na frente do cartão de acesso do aluno.

Ao digitar as credencias, é solicitado ao banco de dados as seguintes informações sobre o aluno:("Nome", "Matricula" "turma") é nessa hora que é possivel interceptar a requisição (POST) antes de ser enviada ao servidor atraves da ferramenta BurpSuite e obter dados sensiveis do servidor.

Dados sensiveis: Analisando um pouco mais, eu notei que também é possivel obter dados sensiveis (endereco,usuario,senha) codificados em base64 e em texto claro do servidor de banco de dados, onde fica armazenados todas as informações sobre os alunos possibilitando a alteraçao tanto das notas online, horario de entrada e saida de qualquer aluno de qualquer escola cadastrada no aplicativo, dentre outras alterações de dados.

Responsible Disclosure

A empresa e os desenvolvedores já foram todos notificados sobre a vulnerabilidade e me autorizaram a publicar esta pesquisa.

Notificação: 26/10/2016
Resposta do responsavel: 27/10/2016
Autorização para publicação desse artigo: Depois de 22/12
Data do artigo: 29/11/2016
Ano para correção: 2017

Jhonathan Davi

Jhonathan Davi A.K.A jh00nbr

Subscribe to InsightL4b - Security Research Lab

Get the latest posts delivered right to your inbox.

or subscribe via RSS with Feedly!