Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Defcon Russia | Bo0om vs Шурыгина
Search
Bo0oM
September 02, 2017
Technology
0
1.6k
Defcon Russia | Bo0om vs Шурыгина
Деанонимируем с помощью Google Glass
Bo0oM
September 02, 2017
Tweet
Share
More Decks by Bo0oM
See All by Bo0oM
Носок на сок
bo0om
0
1.7k
Выйди и зайди нормально
bo0om
0
67
Защита от вредоносной автоматизации сегодня
bo0om
0
570
Defending against automatization using nginx
bo0om
0
820
Antibot pitch deck
bo0om
0
140
31337
bo0om
0
170
Your back is white
bo0om
0
350
FTP2RCE
bo0om
1
7.4k
Interpret it!
bo0om
0
1.1k
Other Decks in Technology
See All in Technology
AWS Organizations 新機能!マルチパーティ承認の紹介
yhana
1
280
MobileActOsaka_250704.pdf
akaitadaaki
0
130
ビズリーチにおけるリアーキテクティング実践事例 / JJUG CCC 2025 Spring
visional_engineering_and_design
1
130
Delta airlines®️ USA Contact Numbers: Complete 2025 Support Guide
airtravelguide
0
340
FOSS4G 2025 KANSAI QGISで点群データをいろいろしてみた
kou_kita
0
400
OPENLOGI Company Profile
hr01
0
67k
IPA&AWSダブル全冠が明かす、人生を変えた勉強法のすべて
iwamot
PRO
2
150
Flutter向けPDFビューア、pdfrxのpdfium WASM対応について
espresso3389
0
130
第4回Snowflake 金融ユーザー会 Snowflake summit recap
tamaoki
1
290
ビズリーチが挑む メトリクスを活用した技術的負債の解消 / dev-productivity-con2025
visional_engineering_and_design
3
7.7k
Claude Code に プロジェクト管理やらせたみた
unson
6
4.2k
Delta airlines Customer®️ USA Contact Numbers: Complete 2025 Support Guide
deltahelp
0
710
Featured
See All Featured
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.7k
The Illustrated Children's Guide to Kubernetes
chrisshort
48
50k
Designing Experiences People Love
moore
142
24k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
10
950
GraphQLとの向き合い方2022年版
quramy
49
14k
The World Runs on Bad Software
bkeepers
PRO
69
11k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
130
19k
Reflections from 52 weeks, 52 projects
jeffersonlam
351
20k
Build The Right Thing And Hit Your Dates
maggiecrowley
36
2.8k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
35
2.4k
RailsConf 2023
tenderlove
30
1.1k
Raft: Consensus for Rubyists
vanstee
140
7k
Transcript
Боремся с Шурыгиной ДЕАНОНИМИРУЕМ ОДНИМ ВЗГЛЯДОМ С ПОМОЩЬЮ СОВРЕМЕННЫХ (И
НЕ ОЧЕНЬ) ТЕХНОЛОГИЙ.
WHOAMI • Папин бродяга, мамин симпотяга • Security researcher, whitehat,
noob, script kiddie • ONSEC, JBFC @i_bo0om – мой twitter @webpwn – канал в telegram ОЧЕНЬ ВАЖНО!
Проблема: • Вендоры (бары и клубы) не всегда следуют документации
(не проверяют паспорт) • Злоумышленники могут сказать заведомо ложную информацию и обойти функцию валидации возрастных ограничений
Особенности атаки: • Злоумышленник обходит ограничения функции проверки возраста •
Злоумышленник идет на контакт с потенциальной жертвой и методом социальной инженерии входит с ним в кратковременный контакт • После контакта злоумышленник шантажирует жертву
Но как же бороться с злоумышленниками?
Google glass
Взяли новый за $1500, купил почти новый за $250 Купил
их у чувака из
FindFace
Интеграция
Разработка приложения • Я не умею в приложения для Android
• У меня мало времени (работа, семья, destiny 2) • Не нужно нагружать очки, им и так плохо в этом мире
Как работает Google API
Это Alain Vongsouvanh
Mirror API’s Quickstart, епта
Три дня и три ночи пытались его запустить
На самом деле я его запустил на PHP, но осадок
остался
None
Схема работы первого варианта Делаем фото Share with FindFace Магия-магия
Google Glass Кидаем инфу о юзере в очки
Да! В Google Glass можно кидать пуши Охрененная фича. Ты
можешь кидать события к своему аккаунту и они появятся в очках. Вообще ничего не нужно, пост запрос с картинкой, ссылкой, html!
Вариант второй
Схема работы второго варианта Делаем фото Улыбаемся Магия-магия Google Glass
Инфа о юзере Выпиваем за любовь
Делаем фотографию
Для примера какой-то левый чувак
Фотка заливается в google photo
Мониторим с помощью API новые фотки
При появлении новой фотографии с тегом Google Glass – кидаем
фотку в findface
Собираем данные с соцсеточки
Отправляем информацию в очко (правое) пользователю
WARNING! Атака предполагаемого злоумышленника Ой, я уже такая пьяненькая и
хочу спать. Может переспим у тебя? Секунду…
Время подумать! • Лариса, 15 лет • Москва, Школа 49
• Любимый фильм – 50 оттенков серого • Семейное положение – все сложно
Уязвимости веб-приложения findface
Тарифы в FindFace
None
Я получил безлимитный премиум
К моему userid привязались левые учетки
К моему API key привязались другие учетки, id которых я
перебирал :)
Модуль GoNow • Получаем доступ к API PicasaWeb • Получаем
доступ к API Glass.Timeline • Просим разрешение через oauth • Берем ключик, суем в следующий модуль
Модуль Palki • Мониторит новые фотографии • Отправляет в FindFace
• Ответ отправляет в очки
Схема работы GoNow Palki Google Glass Google Photo 1 2
3 4
Что можно улучшить Написать полноценное приложение для более глубокой интеграции.
Батарейка на Glass ($70)
Для исправления уязвимости рекомендуется сделать татуировку на лице. HOW TO
FIX
Вопросы?