Recientemente un hacker anónimo descubrió un método para viajar con Uber sin pagar y publicó sus hallazgos en un famoso foro de seguridad en línea.
Este fallo permite que cualquier usuario pueda aprovecharlo para viajar de forma gratuita sin necesidad de tener demasiada pericia técnica.
Esto es posible gracias a un fallo que se implementa en el sistema que da a los nuevos usuarios crédito para usar el servicio cuando se registran por primera vez. El hacker investigó cómo funciona este programa y aprovechó los defectos del mismo.
La aplicación móvil de Uber utiliza el IMEI (International Mobile Equipment Identity) para identificar cada dispositivo registrado en el servicio. El problema es que el IMEI puede ser cambiado o falsificado fácilmente por los propietarios de dispositivos.
De este modo se puede cambiar el IMEI para parecer un nuevo usuario con un dispositivo recién adquirido, y así obtener nuevo crédito de la compañía.
El hacker anónimo ha declarado que para realizar esta operación se necesitan las siguientes herramientas:
Un dispositivo android rooteado. Todos los dispositivos usados deben estar rooteados para poder ejecutar las herramientas designadas.
Xposed Framework. Este es un marco para módulos que permiten cambios en el sistema y en las aplicaciones sin necesidad de modificar el archivo APK.
CardGen. Se utiliza para generar detalles de la tarjeta de pago.
IMEI Changer. Se utiliza para cambiar el número IMEI del dispositivo expuesto.
Con todas las herramientas en mano, sólo tienes que rootear el dispositivo designado y utilizar el cambiador de IMEI para modificar el IMEI del móvil. Según las especificaciones, el último número es un dígito de control que debe comprobarse para su validez. Sin embargo, parece que Uber no ha implementado tal precaución.
El siguiente paso es borrar la caché de datos de la aplicación de Uber de la página de configuración de aplicaciones de Android y crear una nueva cuenta. Usando la aplicación de CardGen, puedes crear un conjunto falso de credenciales de tarjetas de crédito para rellenar los datos necesarios en el formulario: año y mes de validez y código CVV (CW). Sorprendentemente, la aplicación móvil tampoco valida la tarjeta cuando te registras.
Es bueno aclarar que explicamos todo esto simplemente para fines educativos. Y que llevar a cabo este tipo de hackeos se considera fraude en muchos países.
De hecho, la raíz de estos problemas es el algoritmo utilizado por Uber para determinar si un usuario es nuevo en el sistema. El uso de IMEI es uno de los métodos más antiguos que son utilizados por muchos sistemas y servicios para la autenticación inicial, y por ello esperamos que Uber corrija las vulnerabilidades muy pronto.
Si eres de los atrevidos, entonces ya sabes qué hacer.
