Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Defcon Russia | Bo0om vs Шурыгина
Search
Bo0oM
September 02, 2017
Technology
0
1.6k
Defcon Russia | Bo0om vs Шурыгина
Деанонимируем с помощью Google Glass
Bo0oM
September 02, 2017
Tweet
Share
More Decks by Bo0oM
See All by Bo0oM
Защита от вредоносной автоматизации сегодня
bo0om
0
420
Defending against automatization using nginx
bo0om
0
710
Antibot pitch deck
bo0om
0
98
31337
bo0om
0
96
Your back is white
bo0om
0
240
FTP2RCE
bo0om
0
6.9k
Interpret it!
bo0om
0
1k
At Home Among Strangers
bo0om
1
3.4k
2000day in Safari
bo0om
2
2k
Other Decks in Technology
See All in Technology
Meta Quest 3 で動く桜マシマシ WebXR アプリを IBM Cloud Code Engine と Babylon.js で作った話
1ftseabass
PRO
0
120
On Your Data を超えていく!
hirotomotaguchi
2
670
JAWS-UG Bedrock Claude Night
yamahiro
3
570
20240416_devopsdaystokyo
kzkmaeda
1
220
チームでロジカルシンキングに改めて向き合っている話 〜学習環境と実践⽅法〜
sansantech
PRO
2
2.1k
本当のAWS基礎
toru_kubota
0
510
KubeConにproposalを送りたい人へのアドバイス
sat
PRO
3
240
家族アルバム みてねにおけるGrafana活用術 / Grafana Meetup Japan Vol.1 LT
isaoshimizu
1
560
現代CSSフレームワークの内部実装とその仕組み
poteboy
8
3.6k
MySQL の SQL クエリチューニングの要所を掴む勉強会
andpad
2
6.2k
反実仮想機械学習とは何か
usaito
PRO
11
4.4k
Vertex AI を中心に 生成AIのアップデートを共有します
kaz1437
0
300
Featured
See All Featured
Code Reviewing Like a Champion
maltzj
514
39k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
322
20k
Building Your Own Lightsaber
phodgson
99
5.7k
Design by the Numbers
sachag
274
18k
How to name files
jennybc
65
93k
Fashionably flexible responsive web design (full day workshop)
malarkey
398
65k
Facilitating Awesome Meetings
lara
42
5.6k
GraphQLの誤解/rethinking-graphql
sonatard
50
9.2k
The Brand Is Dead. Long Live the Brand.
mthomps
49
28k
Optimising Largest Contentful Paint
csswizardry
8
2.4k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
78
42k
Designing with Data
zakiwarfel
96
4.8k
Transcript
Боремся с Шурыгиной ДЕАНОНИМИРУЕМ ОДНИМ ВЗГЛЯДОМ С ПОМОЩЬЮ СОВРЕМЕННЫХ (И
НЕ ОЧЕНЬ) ТЕХНОЛОГИЙ.
WHOAMI • Папин бродяга, мамин симпотяга • Security researcher, whitehat,
noob, script kiddie • ONSEC, JBFC @i_bo0om – мой twitter @webpwn – канал в telegram ОЧЕНЬ ВАЖНО!
Проблема: • Вендоры (бары и клубы) не всегда следуют документации
(не проверяют паспорт) • Злоумышленники могут сказать заведомо ложную информацию и обойти функцию валидации возрастных ограничений
Особенности атаки: • Злоумышленник обходит ограничения функции проверки возраста •
Злоумышленник идет на контакт с потенциальной жертвой и методом социальной инженерии входит с ним в кратковременный контакт • После контакта злоумышленник шантажирует жертву
Но как же бороться с злоумышленниками?
Google glass
Взяли новый за $1500, купил почти новый за $250 Купил
их у чувака из
FindFace
Интеграция
Разработка приложения • Я не умею в приложения для Android
• У меня мало времени (работа, семья, destiny 2) • Не нужно нагружать очки, им и так плохо в этом мире
Как работает Google API
Это Alain Vongsouvanh
Mirror API’s Quickstart, епта
Три дня и три ночи пытались его запустить
На самом деле я его запустил на PHP, но осадок
остался
None
Схема работы первого варианта Делаем фото Share with FindFace Магия-магия
Google Glass Кидаем инфу о юзере в очки
Да! В Google Glass можно кидать пуши Охрененная фича. Ты
можешь кидать события к своему аккаунту и они появятся в очках. Вообще ничего не нужно, пост запрос с картинкой, ссылкой, html!
Вариант второй
Схема работы второго варианта Делаем фото Улыбаемся Магия-магия Google Glass
Инфа о юзере Выпиваем за любовь
Делаем фотографию
Для примера какой-то левый чувак
Фотка заливается в google photo
Мониторим с помощью API новые фотки
При появлении новой фотографии с тегом Google Glass – кидаем
фотку в findface
Собираем данные с соцсеточки
Отправляем информацию в очко (правое) пользователю
WARNING! Атака предполагаемого злоумышленника Ой, я уже такая пьяненькая и
хочу спать. Может переспим у тебя? Секунду…
Время подумать! • Лариса, 15 лет • Москва, Школа 49
• Любимый фильм – 50 оттенков серого • Семейное положение – все сложно
Уязвимости веб-приложения findface
Тарифы в FindFace
None
Я получил безлимитный премиум
К моему userid привязались левые учетки
К моему API key привязались другие учетки, id которых я
перебирал :)
Модуль GoNow • Получаем доступ к API PicasaWeb • Получаем
доступ к API Glass.Timeline • Просим разрешение через oauth • Берем ключик, суем в следующий модуль
Модуль Palki • Мониторит новые фотографии • Отправляет в FindFace
• Ответ отправляет в очки
Схема работы GoNow Palki Google Glass Google Photo 1 2
3 4
Что можно улучшить Написать полноценное приложение для более глубокой интеграции.
Батарейка на Glass ($70)
Для исправления уязвимости рекомендуется сделать татуировку на лице. HOW TO
FIX
Вопросы?