Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Defcon Russia | Bo0om vs Шурыгина
Search
Bo0oM
September 02, 2017
Technology
0
1.6k
Defcon Russia | Bo0om vs Шурыгина
Деанонимируем с помощью Google Glass
Bo0oM
September 02, 2017
Tweet
Share
More Decks by Bo0oM
See All by Bo0oM
Носок на сок
bo0om
0
1.7k
Выйди и зайди нормально
bo0om
0
71
Защита от вредоносной автоматизации сегодня
bo0om
0
580
Defending against automatization using nginx
bo0om
0
820
Antibot pitch deck
bo0om
0
140
31337
bo0om
0
170
Your back is white
bo0om
0
350
FTP2RCE
bo0om
1
7.5k
Interpret it!
bo0om
0
1.1k
Other Decks in Technology
See All in Technology
LLM開発を支えるエヌビディアの生成AIエコシステム
acceleratedmu3n
0
180
AI駆動開発 with MixLeap Study【大阪支部 #3】
lycorptech_jp
PRO
0
250
スプリントゴール未達症候群に送る処方箋
kakehashi
PRO
1
260
KCD Lima: eBee in Peru!
lizrice
0
100
AI工学特論: MLOps・継続的評価
asei
10
1.8k
QuickBooks®️ Customer®️ USA Contact Numbers: Complete 2025 Support Guide
qbsupportinfo
0
120
本当にわかりやすいAIエージェント入門
segavvy
10
6.1k
興味の胞子を育て 業務と技術に広がる”きのこ力”
fumiyasac0921
0
210
OpenTelemetry の Log を使いこなそう
biwashi
5
1k
自分がLinc’wellで提供しているプロダクトを理解するためにやったこと
murabayashi
1
160
株式会社島津製作所_研究開発(集団協業と知的生産)の現場を支える、OSS知識基盤システムの導入
akahane92
1
1.3k
The Madness of Multiple Gemini CLIs Developing Simultaneously with Jujutsu
gunta
1
2.6k
Featured
See All Featured
Building Applications with DynamoDB
mza
95
6.5k
Adopting Sorbet at Scale
ufuk
77
9.5k
Building Better People: How to give real-time feedback that sticks.
wjessup
367
19k
Faster Mobile Websites
deanohume
308
31k
Scaling GitHub
holman
461
140k
Code Review Best Practice
trishagee
69
19k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
126
53k
Put a Button on it: Removing Barriers to Going Fast.
kastner
60
3.9k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
29
1.8k
Documentation Writing (for coders)
carmenintech
72
4.9k
Reflections from 52 weeks, 52 projects
jeffersonlam
351
21k
Measuring & Analyzing Core Web Vitals
bluesmoon
7
530
Transcript
Боремся с Шурыгиной ДЕАНОНИМИРУЕМ ОДНИМ ВЗГЛЯДОМ С ПОМОЩЬЮ СОВРЕМЕННЫХ (И
НЕ ОЧЕНЬ) ТЕХНОЛОГИЙ.
WHOAMI • Папин бродяга, мамин симпотяга • Security researcher, whitehat,
noob, script kiddie • ONSEC, JBFC @i_bo0om – мой twitter @webpwn – канал в telegram ОЧЕНЬ ВАЖНО!
Проблема: • Вендоры (бары и клубы) не всегда следуют документации
(не проверяют паспорт) • Злоумышленники могут сказать заведомо ложную информацию и обойти функцию валидации возрастных ограничений
Особенности атаки: • Злоумышленник обходит ограничения функции проверки возраста •
Злоумышленник идет на контакт с потенциальной жертвой и методом социальной инженерии входит с ним в кратковременный контакт • После контакта злоумышленник шантажирует жертву
Но как же бороться с злоумышленниками?
Google glass
Взяли новый за $1500, купил почти новый за $250 Купил
их у чувака из
FindFace
Интеграция
Разработка приложения • Я не умею в приложения для Android
• У меня мало времени (работа, семья, destiny 2) • Не нужно нагружать очки, им и так плохо в этом мире
Как работает Google API
Это Alain Vongsouvanh
Mirror API’s Quickstart, епта
Три дня и три ночи пытались его запустить
На самом деле я его запустил на PHP, но осадок
остался
None
Схема работы первого варианта Делаем фото Share with FindFace Магия-магия
Google Glass Кидаем инфу о юзере в очки
Да! В Google Glass можно кидать пуши Охрененная фича. Ты
можешь кидать события к своему аккаунту и они появятся в очках. Вообще ничего не нужно, пост запрос с картинкой, ссылкой, html!
Вариант второй
Схема работы второго варианта Делаем фото Улыбаемся Магия-магия Google Glass
Инфа о юзере Выпиваем за любовь
Делаем фотографию
Для примера какой-то левый чувак
Фотка заливается в google photo
Мониторим с помощью API новые фотки
При появлении новой фотографии с тегом Google Glass – кидаем
фотку в findface
Собираем данные с соцсеточки
Отправляем информацию в очко (правое) пользователю
WARNING! Атака предполагаемого злоумышленника Ой, я уже такая пьяненькая и
хочу спать. Может переспим у тебя? Секунду…
Время подумать! • Лариса, 15 лет • Москва, Школа 49
• Любимый фильм – 50 оттенков серого • Семейное положение – все сложно
Уязвимости веб-приложения findface
Тарифы в FindFace
None
Я получил безлимитный премиум
К моему userid привязались левые учетки
К моему API key привязались другие учетки, id которых я
перебирал :)
Модуль GoNow • Получаем доступ к API PicasaWeb • Получаем
доступ к API Glass.Timeline • Просим разрешение через oauth • Берем ключик, суем в следующий модуль
Модуль Palki • Мониторит новые фотографии • Отправляет в FindFace
• Ответ отправляет в очки
Схема работы GoNow Palki Google Glass Google Photo 1 2
3 4
Что можно улучшить Написать полноценное приложение для более глубокой интеграции.
Батарейка на Glass ($70)
Для исправления уязвимости рекомендуется сделать татуировку на лице. HOW TO
FIX
Вопросы?