Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
21/09/2018
Vulnerabilidades en las bicicletas oBike
Descubren vulnerabilidades en la plataforma de alquiler de bicicletas.La nueva plataforma de alquiler de bicicletas, oBike, utiliza un mecanismo de bloqueo que se activa mientras no factura al cliente. Dicho mecanismo se puede evadir mediante un ataque al texto cifrado con valores predecibles hasta recibir una respuesta de confirmación por parte de los servidores oBike, que permite desbloquear la bicicleta.
Por otra parte, se descubren otras vulnerabilidades que permiten falsear la ubicación de las bicicletas y el alquiler no quede registrado. En esta última vulnerabilidad, el ataque tiene como objetivo simular una bicicleta defectuosa para que el servidor no permita realizar intentos de desbloqueo, quedando la bicicleta desbloqueada permanentemente y sin cargos.
Sistemas Afectados:oBike
Referencias:CVE-2018-16242
Solución:None Notas: