Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
21/09/2018
La nova plataforma de lloguer de bicicletes, oBike, utilitza un mecanisme de bloqueig que s'activa mentre no factura al client. Aquest mecanisme es pot evadir mitjançant un atac al text xifrat amb valors predictibles fins a rebre una resposta de confirmació que permet desbloquejar la bicicleta.
D'altra banda, es descobreixen altres vulnerabilitats que permeten falsejar la ubicació de les bicicletes i el lloguer no quede registrat. En aquesta última vulnerabilitat, l'atac té com a objectiu simular una bicicleta defectuosa perquè el servidor no permeta realitzar intents de desbloqueig, i la bicicleta queda desbloquejada permanentment i sense càrrecs.
Sistemes Afectats:oBike
Referències:CVE-2018-16242
Solució:None Notes: