Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Defcon Russia | Bo0om vs Шурыгина
Search
Bo0oM
September 02, 2017
Technology
1.7k
0
Share
Defcon Russia | Bo0om vs Шурыгина
Деанонимируем с помощью Google Glass
Bo0oM
September 02, 2017
More Decks by Bo0oM
See All by Bo0oM
Носок на сок
bo0om
0
1.9k
Выйди и зайди нормально
bo0om
0
99
Защита от вредоносной автоматизации сегодня
bo0om
0
640
Defending against automatization using nginx
bo0om
0
890
Antibot pitch deck
bo0om
0
180
31337
bo0om
0
230
Your back is white
bo0om
0
390
FTP2RCE
bo0om
1
7.7k
Interpret it!
bo0om
0
1.2k
Other Decks in Technology
See All in Technology
NgRx SignalStore: The Power of Extensibility
rainerhahnekamp
0
230
AIペネトレーションテスト・ セキュリティ検証「AgenticSec」ご紹介資料
laysakura
0
2.2k
会社紹介資料 / Sansan Company Profile
sansan33
PRO
17
410k
自分のハンドルは自分で握れ! ― 自分のケイパビリティを増やし、メンバーのケイパビリティ獲得を支援する ― / Take the wheel yourself
takaking22
1
560
Bluesky Meetup in Tokyo vol.4 - 2023to2026
shinoharata
0
190
幾億の壁を超えて/Beyond Countless Walls(JP)
ikuodanaka
0
130
Azure Speech で音声対応してみよう
kosmosebi
0
120
終盤で崩壊させないAI駆動開発
j5ik2o
2
2.1k
最近の技術系の話題で気になったもの色々(IoT系以外も) / IoTLT 花見予定会(たぶんBBQ) @都立潮風公園バーベキュー広場
you
PRO
1
170
昔はシンプルだった_AmazonS3
kawaji_scratch
0
260
Introduction to Sansan for Engineers / エンジニア向け会社紹介
sansan33
PRO
6
74k
こんなアーキテクチャ図はいやだ / Anti-pattern in AWS Architecture Diagrams
naospon
1
360
Featured
See All Featured
Leadership Guide Workshop - DevTernity 2021
reverentgeek
1
260
Building Adaptive Systems
keathley
44
3k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
PRO
199
73k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
360
30k
Building a Modern Day E-commerce SEO Strategy
aleyda
45
9k
GraphQLとの向き合い方2022年版
quramy
50
15k
Groundhog Day: Seeking Process in Gaming for Health
codingconduct
0
140
HU Berlin: Industrial-Strength Natural Language Processing with spaCy and Prodigy
inesmontani
PRO
0
320
Designing for Timeless Needs
cassininazir
0
190
The SEO Collaboration Effect
kristinabergwall1
0
420
Typedesign – Prime Four
hannesfritz
42
3k
Technical Leadership for Architectural Decision Making
baasie
3
320
Transcript
Боремся с Шурыгиной ДЕАНОНИМИРУЕМ ОДНИМ ВЗГЛЯДОМ С ПОМОЩЬЮ СОВРЕМЕННЫХ (И
НЕ ОЧЕНЬ) ТЕХНОЛОГИЙ.
WHOAMI • Папин бродяга, мамин симпотяга • Security researcher, whitehat,
noob, script kiddie • ONSEC, JBFC @i_bo0om – мой twitter @webpwn – канал в telegram ОЧЕНЬ ВАЖНО!
Проблема: • Вендоры (бары и клубы) не всегда следуют документации
(не проверяют паспорт) • Злоумышленники могут сказать заведомо ложную информацию и обойти функцию валидации возрастных ограничений
Особенности атаки: • Злоумышленник обходит ограничения функции проверки возраста •
Злоумышленник идет на контакт с потенциальной жертвой и методом социальной инженерии входит с ним в кратковременный контакт • После контакта злоумышленник шантажирует жертву
Но как же бороться с злоумышленниками?
Google glass
Взяли новый за $1500, купил почти новый за $250 Купил
их у чувака из
FindFace
Интеграция
Разработка приложения • Я не умею в приложения для Android
• У меня мало времени (работа, семья, destiny 2) • Не нужно нагружать очки, им и так плохо в этом мире
Как работает Google API
Это Alain Vongsouvanh
Mirror API’s Quickstart, епта
Три дня и три ночи пытались его запустить
На самом деле я его запустил на PHP, но осадок
остался
None
Схема работы первого варианта Делаем фото Share with FindFace Магия-магия
Google Glass Кидаем инфу о юзере в очки
Да! В Google Glass можно кидать пуши Охрененная фича. Ты
можешь кидать события к своему аккаунту и они появятся в очках. Вообще ничего не нужно, пост запрос с картинкой, ссылкой, html!
Вариант второй
Схема работы второго варианта Делаем фото Улыбаемся Магия-магия Google Glass
Инфа о юзере Выпиваем за любовь
Делаем фотографию
Для примера какой-то левый чувак
Фотка заливается в google photo
Мониторим с помощью API новые фотки
При появлении новой фотографии с тегом Google Glass – кидаем
фотку в findface
Собираем данные с соцсеточки
Отправляем информацию в очко (правое) пользователю
WARNING! Атака предполагаемого злоумышленника Ой, я уже такая пьяненькая и
хочу спать. Может переспим у тебя? Секунду…
Время подумать! • Лариса, 15 лет • Москва, Школа 49
• Любимый фильм – 50 оттенков серого • Семейное положение – все сложно
Уязвимости веб-приложения findface
Тарифы в FindFace
None
Я получил безлимитный премиум
К моему userid привязались левые учетки
К моему API key привязались другие учетки, id которых я
перебирал :)
Модуль GoNow • Получаем доступ к API PicasaWeb • Получаем
доступ к API Glass.Timeline • Просим разрешение через oauth • Берем ключик, суем в следующий модуль
Модуль Palki • Мониторит новые фотографии • Отправляет в FindFace
• Ответ отправляет в очки
Схема работы GoNow Palki Google Glass Google Photo 1 2
3 4
Что можно улучшить Написать полноценное приложение для более глубокой интеграции.
Батарейка на Glass ($70)
Для исправления уязвимости рекомендуется сделать татуировку на лице. HOW TO
FIX
Вопросы?
bo0om
rainerhahnekamp
laysakura
sansan33
takaking22
shinoharata
.jpg){kind=avatar}
ikuodanaka
kosmosebi
j5ik2o
you
kawaji_scratch
naospon
reverentgeek
keathley
soudai
bermonpainter
aleyda
quramy
codingconduct
inesmontani
cassininazir
kristinabergwall1
hannesfritz
baasie
