Report: McDonald’s Wi-fi Login System
Advisory: | VoidSec-13-001 |
Disclosure date: | November 24, 2013 |
CVSS Score: | 3.3 |
Vendor: | McDonald’s Italia |
Vulnerability discovery date: | May 23, 2013 |
Table of Contents
Scarica il Report [IT] | Download the Report [EN]
Introduzione
Il caso McDonald’s, è un classico caso di cattiva programmazione e gestione della sicurezza delle reti.
Analizzando il portale di login per gli ospiti del sistema Wi-Fi abbiamo identificato un errore, relativamente banale, nel processo di generazione dell’autenticazione a doppio fattore dell’account utente. In pratica era possibile registrare account fittizi saltando il passaggio obbligatorio di verifica dell’identità a mezzo della ricezione di un sms sul cellulare; tramite una analisi del traffico dati siamo stati inoltre in grado di recuperare i dati necessari all’automatismo della registrazione tramite bot.
Questa vulnerabilità permetteva pertanto di utilizzare la rete del McDonald’s come scudo e proxy per poter non solo navigare anonimamente in rete ma anche per portare attacchi ad altri sistemi in totale sicurezza.
Inoltre sulla rete pubblica abbiamo identificato la presenza di alcuni servizi di back-end quali una VPN privata, il sistema di gestione wi-fi e il POS (gestione pagamenti bancomat e carte di credito).
Lista delle Vulnerabilità
- XSS non persistente
- Captcha bypass
- Login bypass
- McDonald’s VPN login bruteforce
Conclusioni
Data l’architettura di rete che abbiamo “incontrato”, compromettere il servizio di back-end avrebbe comportato l’accesso al gateway principale d’interscambio dei dati sulla rete, pertanto, sicuramente sarebbe stato possibile rubare i dati di navigazione degli ospiti del McDonald’s e i dati in transito sulla VPN.
Data la presenza in rete del sistema di pagamento tramite POS si potrebbe pensare di attaccare questo servizio al fine di rubare del denaro; per fare delle valutazioni sarebbe necessario conoscere la struttura della rete, riteniamo comunque l’attacco poco probabile data la struttura stessa dei POS. Sottolineiamo che negli ultimi tempi si stanno sviluppando malware per attaccare queste strutture. Precisiamo che la nostra etica ci ha impedito di violare e di conseguenza, di portare attacchi diretti a questo sistema.
Quantificando il rischio dell’azienda, sarebbe stato possibile rubare i dati di navigazione, potenzialmente recuperare i dati di registrazione degli ospiti, redirigire il traffico web su un altro sistema ed eventualmente compromettere i computer dei visitatori e i dispositivi di rete.
Il contatto con McDonald’s è stato più facile del previsto, non avendo a disposizione nessun contatto di un reparto tecnico competente, abbiamo semplicemente notificato il desiderio di riportare una vulnerabilità, siamo stati (tempestivamente) ricontattati da un operatore, molto disponibile al dialogo, con cui abbiamo instaurato una collaborazione.
di VoidSec e kalup