EDICIóN GENERAL
243 meneos
2776 clics
Lanzan la nueva app de BiciMad y la hackean en sólo dos horas

Lanzan la nueva app de BiciMad y la hackean en sólo dos horas

La nueva versión contiene los mismos agujeros que la anterior y puede poner al descubierto datos sensibles: analizamos y comprobamos con un experto sus carencias de seguridad y cómo podrían obtener tu DNI o tus trayectos.

| etiquetas: bicimad , hackers , madrid , piratas informáticos , apps , tecnología
Estas cosas pasan en las mejores casas.
Pero ardo en deseos de ver la excusas, porque ahora se supone que ya no es una empresa privada malvada, ni la gestiona Ana Botella.
#1

Ni verás : "La que está chapuceando Carmena". xD xD xD
#1 habrán dejado la contraseña en un post-it y....
#1 Correcto, no la gestiona Ana Botella. En una empresa hay que diferenciar a quién pertenece y quién gestiona. EMT pertenece al ayuntamiento de Madrid, pero la gestiona el Consorcio Regional de Transportes de Madrid, que es de la Comunidad. Y tal.
#21 No la gestiona el consorcio, querido.
#25 Pues corre raudo a actualizar wikipedia, la web del consorcio y la web de la EMT... y las hemerotecas de periódicos del 2015 cuando cifuentes a través del consorcio cortó el grifo a la EMT. Cuando termines de actualizar todo hazme un llamacuelga.
#30 Que no la gestiona la Comunidad, coño.
Es una empresa 100% gestionada por el ayuntamiento y esta APP está creada por el ayuntamiento.
Punto y final.
#31 creerte a ti o a la web del consorcio... dura elección en un tema sobre el consorcio.
#32 Ponme la web del consorcio donde diga que el consorcio dirige la EMT y no el ayuntamiento.
#33 Primero actualiza la wikipedia. Paso de discutir con alguien que no se toma ni esa molestia. Yo al menos aporto esa prueba, tú sólo tu palabra. Y seguiría sin explicar por qué en 2015 cifu pudo tocar los cojones a emt si según tú es gestionada por ayuntamiento. Moléstate en buscar en lugar de poner negativos a la ligera, y aporta algo que no sea la palabra de un señor anónimo de internet. No me seas creacionista.
#34 ¿Pero qué wikipedia ni qué niño muerto?
Tú has dicho que la web del consorcio dice que la EMT la gestiona el PP de la comunidad.

Yo seré creacionista pero tú pareces un predicador de esos de equo.
#36 Ok. Vamos allá:
Wikipedia EMT: es.wikipedia.org/wiki/Empresa_Municipal_de_Transportes_de_Madrid
Desde que se creó el Consorcio Regional de Transportes de Madrid en 1985, entidad que gestiona todos los medios de transporte público de la Comunidad de Madrid, la EMT opera bajo su autoridad. Actualmente (2011), la EMT gestiona una flota de 2.092 autobuses repartidos por 215 líneas que tienen una extensión de 3.500 kilómetros.

Wikipedia Consorcio:…   » ver todo el comentario
#47 Una cosa es regular y otra cosa es lo que tú decías.
La EMT depende 100% de Ayuntamiento, y lo de Bicimad también.
#47 El Consorcio es quien, efectivamente, regula el transporte público pero las empresas, sean públicas como la EMT u otras privadas, se autogestionan así mismas en función de los servicios que el Consorcio les dice que tienen que cubrir.
#1 No veo que hayan hackeado nada
#38 Pues lo pone en el artículo, bastante fácil de leer.
www.cursodehackers.com/ManInTheMiddle.html

Si te quieres escudar en la semántica para defender esta cagada diciendo que MIM no es hackeo de verdad.
Po fale.
#40 Hombre, me dedico a la seguridad, haz un MITM en una red 3G, ¿Donde han dumpeado la base de datos?, ¿Está ya en haveibeenpwned o aún no? Que potencialmente sin ssl puedas ver los datos en plano es muy diferente de "la han hackeado". Si eso es hackear (poner un wireshark) y han tardado 2 putas horas, no se quien es peor, si los de bicimad o los hackers.

En fin...
#42 #43 Han hackeado la comunicación entre el terminar y el servidor.
Eso es hackear, te dediques a la seguridad o no, el MITM es una técnica de hackeo.
En el propio artículo dice también lo de 3G.
Pero bueno, que no pasa nada.
#45 Eso no es hackear, es capturar tráfico. Hackear la aplicación sería modificarla para conseguir un resultado para el que se supone que no está preparado. Por ejemplo haberla modificado para con ello poder ver los datos sin necesidad de capturar con software externo. ¿Entonces segun tú, como IRC es un protocolo en texto plano, si alguien captura una conversación a hackeado el protocolo? ¿Ha hackeado por ejemplo a IRC-Hispano? No teneis ni idea de lo que es hackear.

Ademas habrán usado la…   » ver todo el comentario
#64 Pues si unos chapuzas pueden ver lo que se manda al servidor, me estás dando más la razón.
#65 No es que sean chapuzas, es que son protocolos antiguos. Al protocolo FTP le pasa lo mismo. Que alguien haga algo mal no quiere decir que lo hayas hackeado. Si una maquina expendedora esta estropeada y me deja comprar sin pagar yo no he hackeado nada. He sacado la comida gratis, pero no he hackeado nada. ¿Ves la diferencia?
#66 Con cada mensaje me das más la razón.
#67 Creo que no lo entiendes.
#68 Lo entiendo bastante bien.
Gracias.
#69 Tus comentarios demuestran lo contrario.
#66 @alexruperez ¿algo que aportar ademas de un voto negativo porque sí? ¿He dicho alguna mentira? ¿He insultado alguien? Imagino que no, otro mafioso ideologico. Como no estoy de acuerdo te calzo negativo... Cada día da mas asco este sitio gracias a gente como tú. En lugar de enriquecer el debate con tu opinión a destruirlo jodiendo el karma al que la dá. Vaya un dictador del debate y la razón estas hecho.
#85 Uso el voto positivo o negativo cuando estoy o no de acuerdo con algo, con todo lo que tu dices no estoy de acuerdo, ya que no solo he he hecho un MitM (twitter.com/madbikeapp/status/910910317252808704) y después de habérselo avisado a los responsables de movilidad de la EMT en público y en persona (www.youtube.com/watch?v=ShYMqHIDZJ0) y haberles ofrecido ayuda y nuestra app (gratis), creo que cometer el mismo error otra vez está muy mal hecho.
#91 Pues toma, porque no estoy de acuerdo.
#95 @Salmonela si todo esto youtu.be/ShYMqHIDZJ0?t=19m56s solo es capturar tráfico, vuelve a donde hayas estudiado anda, que necesitas repasar un poquitín. :roll:
#97 Que hayan analizado la aplicación y te expliquen el procedimiento no quiere decir que hayan hackeado nada. Confundes una parte del proceso con el proceso completo. Por ponerte un ejemplo. hacer ingeniería inversa de una aplicación, aunque sea java que sacas el source casi real, aunque no este ofuscado, solo por el volumen de codigo puede ser una labor que lleve meses. Pero eso no quiere decir que hayas hackeado nada. Te hablaría mas concretamente del video pero ahora mismo no puedo ponerme con un video de 45 minutos. Tendras que esperar a la noche.
#98 Si de verdad crees que hacer un MitM e ingeniería inversa sobre un código ofuscado para encontrar una vulnerabilidad y reportarla públicamente no tiene nada que ver con la definición de security hack, entonces no es necesario que pierdas tus 45 minutos para concretar tu opinión, no me interesa conocerla.
#99 Repasate el hilo y ve a mi comentario en el que explico que una vulnerabilidad no es lo mismo que un hack. ¿Voy a tener que repetir 40 veces lo mismo?
#99 Y por cierto, ofuscar el codigo java solo hace que lleve mas trabajo, pero no tiene nada de complicado. La unica parte que puedes ofuscar son los objetos que creas tu. Luego llega un momento que son llamadas al API de Java y eso no lo puedes renombrar, por lo que con eso deduces la utilidad de cada clase. Ademas de que no necesitas analizar todo el código. Por ejemplo si quieres crackear algo, lo primero que debes hacer es localizar los strings, por ejemplo el de validacion de licencia (el texto del boton, de la respuesta, el titulo del dialog, etc) y ya de ahí solo analizas la parte que necesitas. ¿Alguna vez lo has hecho? ¿No verdad?
#108 decía que en el #95 perdiste la razón, jajaja! Na, es coña, mírate el vídeo del #97 y verás que justo lo que hago es buscar en el código ofuscado en Java el algoritmo para generar el token de autenticación.
#105 en el #95 figura, jajaja! En fin, voy a seguir hackeando... media.giphy.com/media/IbYGMVhugrOxi/giphy.gif
#64 ¿algun @admin que pare a @alexruperez con su uso indiscrimando del negativo?
#86 ¿algún @admin que evite que @Salmonela censure mi uso del positivo y negativo? :-*
#92 Yo no he censurado nada, lo solicito, en todo caso lo hara el admin xD
#64 Han detectado una vulnerabilidad en la aplicación y además la han reportado. Es un hackeo en toda regla.

Hackear no solo implica alterar un programa informático. Es un concepto más amplio (y ambiguo) de lo que indicas.
#87 Una vulnerabilidad y un hack no son la misma cosa. No tiene un concepto amplio, vosotros lo ampliais para que entre cualquier cosa. Si yo envío una carta sin cifrar y tu la intervienes ni has hackeado la carta ni has hackeado a correos. Siemplemente la via de comunicación establecida no es segura, pero no has hackeado absolutamente nada.
#88 Han hackeado el sistema de comunicación de la aplicación con el servidor. ¿Así mejor?
#89 Tío no voy a insistir más, una ultima vez, eso es capturar tráfico.
#88 Efectivamente, no me interesa.
#1 Y en las peores casas también...
mientras que no denuncien al informante del fallo como hace el ministerio de justicia, ya es un gran avance.

A mi lo que mas me sorprende del tema, es que el cualquier ministerio tenemos vigilantes jurados, detectores de metales, tarjeta de acceso hasta con foto del visitante, cámaras de vídeo, etc, etc. pero cuando hablamos de seguridad TIC siempre es un complemento que no se incluye de serie.
¿porque la seguridad física es básica y nunca se olvida y en los sistemas y aplicaciones que gestionan información y dinero del ciudadano no hay manera de que se asuma su coste y se incluya de serie como requisito en cualquier pliego?
#2 1) porque no se ve
2) porque los sobres debajo de la mesa dan menos pasta
3) por inclultura de los jefes y directores de las empresas españolas
4) por ahorrarse un dinero. Total si pasa algo va ser la multa más barata que los costes de hacer algo bien y seguro
5) cultura española: hagamos ñapas y el que venga detrás que arree.
6) consultoras que contratan a consultoras que contratan a consultoras y al final un becario mal pagado y explotado que se come el marrón sin que nadie le ayude.
....
#5 ESto es del ayuntamiento de Carmena.
#8 paren las rotativas! La app de bicimad no chuta! Dimisión! Rojos! Venezuela!

Eso si, amiguito, callado como una puta con los millones que roba tu partido. Y con sus chanchullos, sobres y contratos blindados a amigotes. En el mismo ayuntamiento.

A ver si Cataluña se larga y vamos detrás nosotros, porque que cruz, joder, que cruz.....
#12 Oye, sin querer defender al PP, que cojones tendrá que ver que sean unos ladrones con que el ayuntamiento saque un producto de esta mierda de calidad?
#22 nada en absoluto. Mi comentario era una crítica directa a mi interlocutor.
#12 Cataluña, el PP... en una noticia de Bicimad. ¡Bravo!
#12 Joder, y por qué no funciona, si la empresa Bicimad fue "nacionalizada" y en el ayun cuentan con el mejor informático ese, el que hacía superaplicaciones tcomo MANOLITOM el Pablo Soto.
¿Cómo les ha podido pasar?
#8 Una no noticia, sobre un no hackeo y todo para hacer un "titiriteros" contra el ayuntamiento ... se te veía venir a la legua
#56 A ti también se te veia el cartón, con eso de que era sensacionalista cuando no lo es.
;)
Si a ti te parece una no noticia tirar la pasta, pues vale.
#2 porque esos fallos de seguridad se deben a que hay gente tirando lineas que no tiene ni guarra de lo que hace y se dedica a copiar y pegar cosas de stackoverflow. Asi de simple. ¿Vas a poner en un pliego "quiero que todos los programadores sean buenos y el analista sepa lo que hace"? Te diran que no hay analistas, que ahora hay "chief main architects" y "happiness managers" y que con scrum y tdd la calidad esta asegurada...
#11 ¿No se hace todo copiando y pegando de stackoverflow? Anda ya
#41 entiendo que es dolorido sarcasmo...
Lo de las apps no se les da bien: la tarjeta Multi de Metro no se puede consultar cuántos viajes le quedan desde la app de iOS y sólo desde Android con NFC.
#3 Yo me estoy resistiendo a dejar los bonos de cartón que todavía venden por la Multi, cuando desista por obligación como no tengo móvil con NFC tendré que poner un posit para apuntar con palitos cuantos viajes me quedan en cada una de las 3 tarjetas que me obligan a usar, una para los interurbanos a la capital y metrobús, otra para los urbanos y otra para ir a otro municipio, y cuando la de Cercanías también se vuelva obligatoria ya necesitaría cuatro (dos de ellas Multi pagadas a 2,5 € ya…   » ver todo el comentario
#7 Mi duda es cómo ven los revisores en la Multi si has "picado" al entrar. Porque conozco un amigo de un amigo que "pica" el billete de cartón una vez al día y se cuela el resto de veces que puede, y si le piden billete los revisores, tiene el día marcado en el cartón.
¿Es tan difícil poner un lector de tarjetas en las estaciones que te diga cuantos viajes te quedan?
#70 Los revisores llevan un lector de tarjetas NFC para verlo, con los de cartón creo que solo miraban que estuviera marcado pero no sé si pone solo el día o pone también la hora (y en la banda magnética si lo pasan por un lector puede que les salgan más cosas) . En las estaciones de Metro al pasar la tarjeta por el torno fijándose en la pantallita en teoría te dice cuantos viajes quedan, pero no se pueden consultar desde la web, y en Cercanías se pueden ver cuantos viajes te quedan en la…   » ver todo el comentario
#73 En los de cartón pone sólo el día, y es lo que miran los revisores. Con que esté impreso un viaje con la fecha de ese día, puedes viajar todas las veces que te dé la gana porque no hay forma de saber si picaste a las 09:21 o a las 23:54. En cualquier caso, imagino que con la multi pasará lo mismo dado que no hay una estancia máxima dentro de las instalaciones del metro. Y con que pases la tarjeta una sola vez al día, podrás colarte todas las siguientes sin picar.
#79 Sí hay una estancia máxima (y con los de cartón me suena haber visto revisores con lectores magnéticos, lo que pasa es que si se junta mucha gente y no hacen cola, que no están obligados a hacer cola para salir, y hay más revisores que lectores pasarán de maquinitas):

<< Los viajeros portadores de títulos de transporte con un número limitado de viajes, tendrán el derecho a permanecer durante las tres horas siguientes a su validación en las instalaciones de la red del Ferrocarril Metropolitano. >>

www.metromadrid.es/es/viaja_en_metro/uso_y_accesibilidad/index.html
#81 Gracias! Es bastante conveniente saberlo y más con la implantación de la multi!
#3 Eso es debido a que iOS no lo permite, no a que no sepan hacerlo los desarrolladores. Es posible que a partir de iOS 11 se pueda.
La culpa a quién la tiene, en este caso Apple.
#14 iOS 11 creo que ya tiene para leer NFC pero no para escribir creo recordar. De todos modos da igual, la del abono se consulta con el código numérico que viene detrás de la tarjeta. En la tarjeta Multi tiene un código pero no permite consultarlo.
#3 Bicimad es responsabilidad del Ayuntamiento, la tarjeta multimodal de metro de la Comunidad.
No sabía que la Empresa Municipal de Transportes se dedicara al desarrollo de software :-O
#4 Cualquier informático que vea la UI de esta app puede sufrir un brote psicótico... www.crtm.es/atencion-al-cliente/area-de-descargas/apps/app-tiempo-real
#6 y al enlazarlo estas apoyando que a los informaticos de mename nos de algo...

jodido terrorista... :-D
Lo del HTTPS hay un montón de tiendas online, compañías eléctricas, etc., que han empezado a usarlo cuando Firefox y Chrome han empezado a marcar como inseguras sus webs. Las APP es lo bueno (o malo para el usuario) que tienen, que no avisan de que envían tus datos de forma insegura.
Para ver cuantas bicis hay en cada estación de Bicimad se puede usar alguna APP no oficial como esta, que no envía datos personales:

fossdroid.com/a/openbikesharing.html
Broncano, has vuelto a liarla tú?
No llevar ssl es una chapuza, pero decir "han hackeado" cuando lo que hacen es man in the middle es un poco tendencioso.
#17 Estoy de acuerdo.
Además, respecto al artículo lo que veo es que critican con dureza la aplicación de Bicimad pero con el objetivo de publicitar la de la persona que ha entrado en el sistema de Bicimad.
"aprovechando el "descubrimiento", MadBike incorporará nuevas funcionalidades, que no podrían implementar si se limitaran a utilizar la API pública del servicio. Ahora están desarrollando la nueva actualización en sus ratos libres, que incorporará la compatibilidad con la pantalla del iPhone X en su versión para iOS. Además, pronto anunciarán que van a liberar todo el código de su aplicación para que todo el mundo pueda colaborar."
¿Alguien sabe si hay alguna aplicación hecha con OpenStreetMaps en la que BiciMad funcione? Estoy harto de google.
#19 en F-Droid tienes OpenBikeMap, pero solo para consultar el número de bicis en cada estación
algo sensacionalista o me equivoco?

además "sólo afecta en el supuesto de que un usuario navegue en una wifi abierta" : una app de movilidad, en una wifi abierta??
#20 Lo cual es más común de lo que crees y con el tiempo lo será más. Cuando vas al aeropuerto o una estación de bus o tren, ¿a que esperas encontrarte una wifi abierta? O cuando vas por la calle, en algunos sitios, lo esperas. O incluso si no es abierta, si en un local te dan la contraseña wifi, te conectas. Y por toda la ciudad las wifis abiertas para dar cobertura libre. Pues una vez dentro, jauja. Puedes hacer tú mismo el experimento, ir a una estación, abrir una wifi creando un hotspot,…   » ver todo el comentario
#28 El DNI por si solo según la LOPD solo requiere la protección más básica, el SSL es solo una recomendación, una recomendación que deberían tomarse en serio algunas tiendas online que siguen sin usar SSL para introducir los datos personales (y no hace mucho hasta las compañías telefónicas te mostraban tu historial de llamadas en una web HTTP), pero que no les van a multar por ello. Otra cosa es que en el conjunto de datos que guarda Bicimad haya datos que requieran mayor nivel de protección.
#20 En realidad que estés conectado a una red WiFI con WPA2 no te protege mucho contra la gente que está también está conectada a ella. Y esa es la razón por la que existe WPA2-Enterprise: www.howtogeek.com/204335/warning-encrypted-wpa2-wi-fi-networks-are-sti
Hombre, hay que reconocer que es una chapuza, tanto si lo hace X como si lo hace Y.

Chapuza y poco testado.

Por otro lado, hay que investigar y analizar qué,cómo,porqué, etc.
#24 "Por otro lado, hay que investigar y analizar qué,cómo,porqué, etc."

Pues por que utiliza HTTP en lugar de HTTPS. Lo cual es curioso por que la web oficial de BiciMad (desde donde te puedes registrar y acceder al servicio) sí que utiliza HTTPS.
Este desarrollador que hace publicidad de su app pide que la API sea abierta (que ya lo es) pero su app NO ES ABIERTA. Mucho morro, no?
Y es insegura si te conectas desde un WiFi abierto. Como casi todos los servicios de este tipo. Implementar ssl genera un tráfico mucho mayor y no merece la pena para servicios como estos donde no circula información crítica.

Pero bueno, a lo que vamos:
¡La que está liando Carmena!
#27
"Este desarrollador que hace publicidad de su app pide que la API sea abierta (que ya lo es) pero su app NO ES ABIERTA. Mucho morro, no?"

No lo creo. Pedir una API abierta es como pedir a un servidor de correo que utilice POP3/SMTP para acceder a él. Incluso si quien lo pide se dedica a desarrollar un cliente de correo cerrado no quiere decir que su petición no tenga sentido. Sobre todo cuando se trata de un servicio público. De hecho que haya una API abierta significaría…   » ver todo el comentario
#59 Ese artículo que me enlazas me da la razón. SSL genera más tráfico al empezar la conexión por la seguridad del protocolo. Si después de todo eso se recibe una petición de datos mínima (supongo que un json de pocos caracteres), pues el tráfico generado puede ser más del doble.
Y en cuanto a la seguridad, si estás en la misma red y puedes capturar las tramas, todo el tráfico está expuesto. A ver si te crees que con ssl estás a salvo.
El artículo es lo más sensacionalista que he visto nunca, vale que sin ssl puedes ver lo que se envia en texto plano, pero para ello tienes que estar en la misma red que la víctima y hacer correctamente un MITM (man in the middle). No se, pensé que habrían volcado la base de datos con una inyección SQL o algo.

Aquí no veo que se haya hackeado nada y el que ha escrito el artículo debería dejar de ver Mr Robot.
#35 No es sensacionalista, dice lo que dice, y lo que dice es verdad.
Que cualquiera en tu misma red puede ver tus datos.
#37 Bueno, yo creo que un poco sí... no veo que haya "hackeo" en ningún sitio, no se han metido en el programa ni en los servidores. Que es poco seguro, correcto, es una chapucilla. Que todo el mundo no va con un sniffer por ahí, también es correcto.
#37 Entonces voy a buscar todas las paginas sin ssl, voy a ir al login, abrir las herramientas de navegador y ver como en Red se envía el usuario y contraseña en texto plano de MI usuario (que es lo que se ha hecho en el artículo), y me voy a atribuir el haber "hackeado" todas y cada una de ellas ...

Si hubieran accedido al panel de usuario, o cambiasen un id y viesen otros datos como pasó con la página del ministerio aceptaría barco, por cierto se puede hacer MITM redireccionar a un proxy que quita el ssl y a menos que te fijes en que no tienes el candado en el navegador (o el navegador te avise, que no creo) también pueden ver tus contraseñas en plano .... solo que para ello tendrían que acceder a tu red.
#49 Sería una técnica de hacking.
Hackeo no significa que tenga que ser complicao.
#50 Entonces te anuncio que ya he hackeado todas las páginas de internet.
#51 Enhorabuena.
#49 no hay escusa alguna para mandar información "confidencial" en texto plano. Eso es algo que solo un chapuzas haría.
#71 Correcto, no estoy discutiendo tal cosa. Pero reitero, que no han hackeado nada lo que pasa es que el otro titular no vende. Simplemente el tráfico no va encriptado (venga va, cifrado) por lo que en una eventual alineación planetaria, si alguien está en tu red, te hace un man in the middle y en ese preciso instante tu app de bicimad hace el login (que es donde irán los datos más sensibles), esa persona verá tus datos. Vamos, de aquí al lunes un millón de logins robados como mínimo xD
#35 Por que hace falta un MitM? Con estar en la misma wifi publica?
No usar SSL es una chapuza
#72 Siempre necesitas un MITM, el tráfico va dirigido, si tu quieres que el tráfico de la víctima pase por ti (tu máquina) para poder snifar tienes que decirle al router que tu eres la víctima y a la víctima que tu eres el router. En wifi hay otro truco que es clonarle la mac a la víctima, en redes cableadas da un conflicto de red, pero en wifi como el router no sabe cual es el auténtico, simplemente envía a los 2.

No usar SSL es una chapuza, pero no es el fin del mundo y definitivamente no es "hackear" nada.
#76 puedes capturar los paquetes sin hacer MitM en una conexion inalambrica insegura. Por eso es recomendable utilizar VPNs cuando usas wifis publicas.

Y si, no usar SSL cuando mandas información confidencial es el fin del mundo, al menos para la empresa que hace eso. Las multas son millonarias
#78 Si, poniendo la tarjeta en modo "promiscuo" pero vamos, ¿que % de gente vas a pillar con eso?
el subcontratador que subcontrate buen subcontratador sera.
#44 ¿Insinúas que el ayuntamiento de Madrid compró BICIMAD diciendo que la gestión privada no era eficiente y ahora está subcontratando?
«12
comentarios cerrados

menéame