Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Defcon Russia | Bo0om vs Шурыгина
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
Bo0oM
September 02, 2017
Technology
1.7k
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
Defcon Russia | Bo0om vs Шурыгина
Деанонимируем с помощью Google Glass
Bo0oM
September 02, 2017
More Decks by Bo0oM
See All by Bo0oM
Носок на сок
bo0om
0
1.9k
Выйди и зайди нормально
bo0om
0
110
Защита от вредоносной автоматизации сегодня
bo0om
0
660
Defending against automatization using nginx
bo0om
0
900
Antibot pitch deck
bo0om
0
190
31337
bo0om
0
240
Your back is white
bo0om
0
410
FTP2RCE
bo0om
1
7.7k
Interpret it!
bo0om
0
1.2k
Other Decks in Technology
See All in Technology
AWS Summit Japan 2026の振り返りと2027へ向けて / AWS Summit Japan 2026 Recap and Prospects for 2027
kaminashi
1
130
ClaudeCodeの公式Memory Architecture
nagatsu
0
120
どうして今サーバーサイドKotlinを選択したのか
nealle
0
150
AIは、人間らしい仕事の夢を見るか?─ AI時代のtoB/toEプロダクトを再設計する
techtekt
PRO
0
190
小さいから、全部わかる。— 常駐AI "xangi" のすすめ
sugupoko
0
190
5分でわかるDuckDB Quack
chanyou0311
4
280
Text-to-SQLをAgentCoreで実現し、生成されるSQLの精度を定量的に評価する
yakumo
2
200
toB プロダクトから見たWAF
tokai235
0
260
サイバーエージェントにおけるAI推進戦略と変革への取り組み
shotatsuge
0
630
SRE歴2ヶ月でも開発6年の知見を活かして、チームで止まっていた環境改善を前に進めた話
a_ono
0
150
AIペネトレーションテスト・ セキュリティ検証「AgenticSec」紹介資料
laysakura
2
7.8k
從開發到部署全都交給 AI:實作 AI 驅動的自動化流程
appleboy
0
190
Featured
See All Featured
A designer walks into a library…
pauljervisheath
211
24k
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
659
62k
A Guide to Academic Writing Using Generative AI - A Workshop
ks91
PRO
1
340
Done Done
chrislema
186
16k
Google's AI Overviews - The New Search
badams
0
1.1k
Between Models and Reality
mayunak
4
360
Navigating Team Friction
lara
192
16k
Odyssey Design
rkendrick25
PRO
2
710
Being A Developer After 40
akosma
91
590k
YesSQL, Process and Tooling at Scale
rocio
174
15k
Chasing Engaging Ingredients in Design
codingconduct
0
230
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
194
17k
Transcript
Боремся с Шурыгиной ДЕАНОНИМИРУЕМ ОДНИМ ВЗГЛЯДОМ С ПОМОЩЬЮ СОВРЕМЕННЫХ (И
НЕ ОЧЕНЬ) ТЕХНОЛОГИЙ.
WHOAMI • Папин бродяга, мамин симпотяга • Security researcher, whitehat,
noob, script kiddie • ONSEC, JBFC @i_bo0om – мой twitter @webpwn – канал в telegram ОЧЕНЬ ВАЖНО!
Проблема: • Вендоры (бары и клубы) не всегда следуют документации
(не проверяют паспорт) • Злоумышленники могут сказать заведомо ложную информацию и обойти функцию валидации возрастных ограничений
Особенности атаки: • Злоумышленник обходит ограничения функции проверки возраста •
Злоумышленник идет на контакт с потенциальной жертвой и методом социальной инженерии входит с ним в кратковременный контакт • После контакта злоумышленник шантажирует жертву
Но как же бороться с злоумышленниками?
Google glass
Взяли новый за $1500, купил почти новый за $250 Купил
их у чувака из
FindFace
Интеграция
Разработка приложения • Я не умею в приложения для Android
• У меня мало времени (работа, семья, destiny 2) • Не нужно нагружать очки, им и так плохо в этом мире
Как работает Google API
Это Alain Vongsouvanh
Mirror API’s Quickstart, епта
Три дня и три ночи пытались его запустить
На самом деле я его запустил на PHP, но осадок
остался
None
Схема работы первого варианта Делаем фото Share with FindFace Магия-магия
Google Glass Кидаем инфу о юзере в очки
Да! В Google Glass можно кидать пуши Охрененная фича. Ты
можешь кидать события к своему аккаунту и они появятся в очках. Вообще ничего не нужно, пост запрос с картинкой, ссылкой, html!
Вариант второй
Схема работы второго варианта Делаем фото Улыбаемся Магия-магия Google Glass
Инфа о юзере Выпиваем за любовь
Делаем фотографию
Для примера какой-то левый чувак
Фотка заливается в google photo
Мониторим с помощью API новые фотки
При появлении новой фотографии с тегом Google Glass – кидаем
фотку в findface
Собираем данные с соцсеточки
Отправляем информацию в очко (правое) пользователю
WARNING! Атака предполагаемого злоумышленника Ой, я уже такая пьяненькая и
хочу спать. Может переспим у тебя? Секунду…
Время подумать! • Лариса, 15 лет • Москва, Школа 49
• Любимый фильм – 50 оттенков серого • Семейное положение – все сложно
Уязвимости веб-приложения findface
Тарифы в FindFace
None
Я получил безлимитный премиум
К моему userid привязались левые учетки
К моему API key привязались другие учетки, id которых я
перебирал :)
Модуль GoNow • Получаем доступ к API PicasaWeb • Получаем
доступ к API Glass.Timeline • Просим разрешение через oauth • Берем ключик, суем в следующий модуль
Модуль Palki • Мониторит новые фотографии • Отправляет в FindFace
• Ответ отправляет в очки
Схема работы GoNow Palki Google Glass Google Photo 1 2
3 4
Что можно улучшить Написать полноценное приложение для более глубокой интеграции.
Батарейка на Glass ($70)
Для исправления уязвимости рекомендуется сделать татуировку на лице. HOW TO
FIX
Вопросы?