Descubre lo que NO tienes que hacer para que te revienten los servicios de tu app. Hablo de los cambios de seguridad en la API privada de BiciMAD (https://www.bicimad.com) después de esta (https://eskerda.com/auditoria-bicimad/) auditoría en 2014. Explico las herramientas y procesos que utilicé para hacer mi propia app MADBike (https://madbike.app.link/lxuaEi3VVv), pudiendo hacer login, recordar la contraseña e incluso consultar el saldo utilizando los servicios de la app oficial. Y sobre todo, ¿como evitar que hagan lo mismo con tu API y con tu app?

1. 9 y 10 de febrero
#T3chFest2017
MADBike
Destapando la seguridad de BiciMAD
Alex Rupérez
Intelygenz

2. ¿QUIEN SOY YO?
ALEX RUPÉREZ
▸ iOS Architect @ Intelygenz
▸ Senior iOS Developer @ Fever
▸ iOS Instructor @ IronHack
▸ MADBike Co-Founder @ DrunkCode
▸ Programmer Analyst @ Gigigo
9 y 10 de febrero
#T3chFest2017

3. 9 y 10 de febrero
#T3chFest2017

4. 😱¿En ese punto rojo…
…me darán una bici gratis?
Gracias, como usuario no podría vivir sin saber que mi GPS es… ¿verde?
¿No hacen clustering?
🤔
9 y 10 de febrero
#T3chFest2017

5. Voy a ver que tiempo hace en Madrid, a ver si puedo pillar una bici…
Upss… No va.
😓
9 y 10 de febrero
#T3chFest2017

6. Que máquina mi amigo 036d4b0a263…
Ojalá pudiese saber quien es… ALGUIEN
¿Y yo donde estoy?
🤔
9 y 10 de febrero
#T3chFest2017
En millas, ehh?

7. 11+9=24?
🤔
9 y 10 de febrero
#T3chFest2017
UIColor.greenColor()
UIColor.redColor()

8. ¿Cercanas a que?
¿A mi búsqueda?
¿A mi ubicación?
🤔
9 y 10 de febrero
#T3chFest2017

9. Vamos a ver,
¿he cambiado mi contraseña o no?
OK o error, ¿en que quedamos?
😰
9 y 10 de febrero
#T3chFest2017

10. La tengo en la mano chamo…
🤣
¡Si en la aplicación no hay manera
de reservar sitio en una estación!
9 y 10 de febrero
#T3chFest2017

11. ¿Por qué tapan mi status bar?
Aunque no lo parezca,
¡esto es un botón!
🤔
Me gustaba mi status bar…
😢
9 y 10 de febrero
#T3chFest2017
Vaya tela…

12. 9 y 10 de febrero
#T3chFest2017

13. https://www.charlesproxy.com
9 y 10 de febrero
#T3chFest2017

14. http://helena.bonopark.es:16080
9 y 10 de febrero
#T3chFest2017

15. http://helena.bonopark.es:16080
9 y 10 de febrero
#T3chFest2017

16. 9 y 10 de febrero
#T3chFest2017

17. 9 y 10 de febrero
#T3chFest2017
Eso huele a
MD5…

18. https://github.com/iBotPeaches/Apktool
9 y 10 de febrero
#T3chFest2017

19. https://github.com/skylot/jadx
9 y 10 de febrero
#T3chFest2017

20. 🤣
9 y 10 de febrero
#T3chFest2017

21. 9 y 10 de febrero
#T3chFest2017

22. 9 y 10 de febrero
#T3chFest2017

23. 9 y 10 de febrero
#T3chFest2017
¡Ya está acho!
¡Os lo dije!
¡Quiero mi pasta!
¡Por MADBike!
Subámosla
gratis y sin publi ni
nada!

24. EN RESUMEN…
▸ get_usuario.php (DNI + password)
▸ generate_new_password.php (DNI + email)
▸ get_all_estaciones_new.php (DNI + id_auth)
▸ get_estaciones_cercanas.php (DNI + id_auth)
▸ registrar_incidencia.php (DNI + id_auth)
▸ get_datos_usuario.php (DNI + id_auth)
▸ change_password.php (DNI + old + new)
▸ get_historial_rutas_usuario.php/functions/get_historial_rutas_usuario.php (DNI + id_auth)
▸ set_ruta_usuario.php/functions/set_ruta_usuario.php (DNI + id_auth)
9 y 10 de febrero
#T3chFest2017

25. 9 y 10 de febrero
#T3chFest2017

26. 9 y 10 de febrero
#T3chFest2017
🙌
(Aunque molaría ponerle
un certificado SSL válido
y no devolver la información
en un string con formato JSON…)

27. GRACIAS!
alexruperez
9 y 10 de febrero
#T3chFest2017

28. ¿Preguntas?
😱
9 y 10 de febrero
#T3chFest2017