2. WHOAMI
● Папин бродяга, мамин симпотяга
● Security researcher, whitehat, noob, script kiddie
● ONSEC, JBFC
@i_bo0om – мой twitter
@webpwn – канал в telegram
ОЧЕНЬ ВАЖНО!
3. Проблема:
• Вендоры (бары и клубы) не всегда следуют
документации (не проверяют паспорт)
• Злоумышленники могут сказать заведомо ложную
информацию и обойти функцию валидации
возрастных ограничений
4. Особенности атаки:
• Злоумышленник обходит ограничения функции
проверки возраста
• Злоумышленник идет на контакт с потенциальной
жертвой и методом социальной инженерии входит с
ним в кратковременный контакт
• После контакта злоумышленник шантажирует жертву
10. Разработка приложения
● Я не умею в приложения для Android
● У меня мало времени (работа, семья,
destiny 2)
● Не нужно нагружать очки, им и так плохо
в этом мире
15. На самом деле я его
запустил на PHP, но
осадок остался
16.
17. Схема работы первого варианта
Делаем фото Share with FindFace
Магия-магия
Google Glass
Кидаем инфу о юзере в очки
18. Да! В Google Glass можно кидать пуши
Охрененная фича. Ты можешь
кидать события к своему аккаунту и
они появятся в очках.
Вообще ничего не нужно, пост
запрос с картинкой, ссылкой, html!
35. К моему API key привязались
другие учетки, id которых я
перебирал :)
36. Модуль GoNow
• Получаем доступ к API
PicasaWeb
• Получаем доступ к API
Glass.Timeline
• Просим разрешение через
oauth
• Берем ключик, суем в
следующий модуль