Jeffrey Cross
Jeffrey Cross

Pirater la chasse au trésor de la SCÉ pour une deuxième fois

La chasse au trésor promotionnelle du CES, basée sur la technologie Bluetooth Beacon, est de retour. Malheureusement, il ne semble pas que la sécurité autour de la chasse soit meilleure que la dernière fois. Parce que, comme la dernière fois, il est possible de gagner la chasse sans jamais aller au CES. Cependant, nous avons également constaté que lorsque vous recherchez les balises, celles-ci ne sont pas les seules que vous puissiez trouver. Si vous assistez à la conférence CES cette année, plus de 1 000 balises sont dispersées dans l’ensemble de la salle pour vous suivre lorsque vous vous déplacez dans le salon.

«La chasse au trésor est de retour», a déclaré Jeff Joseph, vice-président directeur des communications et des relations stratégiques chez CTA, «La technologie Beacon a pris son envol depuis que nous l'avons utilisée pour la première fois au CES 2014. Utiliser des balises de proximité pour conduire une chasse au trésor fait partie de notre mission: promouvoir l'innovation et mettre en valeur les dernières technologies émergentes. ”

Quand nous avons appris que la chasse au trésor revenait, nous avons décidé de jeter un coup d'œil - en utilisant les mêmes méthodes que nous avions utilisées pour enquêter sur la dernière chasse au trésor et pour trouver la vulnérabilité des balises Estimote Eddystone vers la fin de l'année dernière - dans l'application officielle de la CES. .

Les choses se sont améliorées depuis la dernière fois, lorsque les identités des balises étaient codées en dur dans l'application. L’application de cette année récupère les informations de balise à l’aide du service cloud ProximityKit de Radius Networks. Malheureusement, toutes les informations dont vous avez besoin pour récupérer les identités de balise à partir du service cloud sont toujours présentes dans l'application.

Gagner la chasse au trésor CES iBeacon, sans jamais avoir à aller au CES.

Cela consiste en des jetons d'application utilisés pour s'authentifier auprès du service cloud. Le regroupement de jetons dans des applications mobiles telles que celle-ci n’est pas particulièrement sécurisé, car ils peuvent être révélés relativement facilement, ce qui permet aux utilisateurs d’altérer les données de votre service cloud. En utilisant le jeton, vous pouvez aller chercher une liste complète des balises déployées sur l’étage CES directement à partir de la ligne de commande.

% curl -H 'Autorisation: jeton de jeton = a00723c600c97d3aa96ad13475252be945cb1f0539b54ed4f66f9a0dcd18ae0b' https://proximitykit.radiusnetworks.com/api/kits/4276> file.json

En regardant à travers les données JSON, il est facile de repérer les huit balises impliquées dans la chasse au trésor, voici la première des huit balises que vous devez trouver.

{"id": 12451, "identificateur": "pk-beacon-12451", "created_at": "2015-11-18T16: 41: 21.723Z", "updated_at": "2015-12-07T21: 42: 36.438 Z "," uuid ":" A9BB0001-8816-4D85-A627-0D69EEF758D3 "," majeur ": 101," mineur ": 1," latitude ": null," longitude ": nul," nom ":" Chasse au trésor # 1 "," enable_monitoring ": false," enable_ranging ": false," attributs ": {" description ":" C-Espace, Aria "," identifiant_lac chasse ":" 1 "," image_url ":" https: / /s3.amazonaws.com /media.radiusnetworks.com / CES_2016 /target_1.png "," title ":" C Space Aria "," trigger_distance ":" 5 "}," notify_on_entry ": true," notify_on_exit ": true," notify_entry_state_on_display ": true}

La balise UUID que nous recherchons est A9BB0001-8816-4D85-A627-0D69EEF758D3. Les huit balises partagent le même nombre majeur de 101, tandis que les balises ont des numéros mineurs augmentant de 1 à 8.

À partir de là, il est relativement simple de simuler les balises. Par exemple, nous pouvons utiliser la bibliothèque bleno pour Node.js pour simuler les balises en seulement quelques lignes de code.

var bleno = require ('bleno'), uuid = 'A9BB000188164D85A6270D69EEF758D3', majeur = 101, mineur = 1, mesuréPuissance = -59; var intervalId = setInterval (function () {bleno.stopAdvertising (); minor ++; if (mineur> 8) {clearInterval (intervalId); console.log ("Au revoir!"); return;} console.log (mineur); bleno .startAdvertisingIBeacon (uuid, majeur, minor, puissance mesurée);}, 2000); console.log ("Chasse au trésor CES");

Exécuter ce script sur votre ordinateur portable à proximité d’un téléphone exécutant l’application CES fera rapidement de vous un gagnant. Tout cela sans avoir à errer dans les couloirs du CES dans l’espoir d’entrer dans la portée d’environ 100 pieds de toutes les balises qu’ils ont dispersées dans le salon.

Gagner la chasse au trésor de la SCÉ sans quitter votre bureau.

Cependant, le fait que vous puissiez gagner la chasse au trésor depuis votre bureau n’est pas tout ce que nous avons trouvé. Parallèlement aux identités des huit balises de chasse, la latitude et la longitude de plus de 1 000 autres balises dispersées sur les trois sites de la CES seront prises en compte, tant que l'application sera installée, au fur et à mesure que vous avancerez dans le spectacle. .

Il y a plus de 1 000 balises dispersées sur les trois sites de la CES 2016.

L’annonce du retour de la chasse au trésor a porté sur l’utilisation de balises pour la navigation en intérieur. Il est donc possible que ces balises aient été déployées dans ce but. Si tel est le cas, votre position au moment où vous vous dirigerez autour de CES ne laissera probablement pas votre téléphone portable, bien que les notifications de balises semblent parfois effrayantes.

Les notifications de balise de l'application CES peuvent être un peu effrayantes?

Cependant, il serait tout aussi possible de configurer les choses de manière à ce que chaque fois que votre téléphone voit une balise, il «appelle à la maison» pour signaler votre position aux autorités compétentes. Certes, l'application CES de 2014 envoyait des données d'analyse jusqu'à le nuage quand une balise de balayage a été détectée.

Si c'est le cas - et nous n'avons pas encore trouvé de code suggérant que cela se produise -, un journal, minute par minute, de votre position à la CES pourrait éventuellement être sauvegardé dans le nuage, et votre position suivie tout au long du processus. êtes là.

Jusqu'à récemment, ce type de déploiement massif de la technologie de balise était rare et il y avait très peu de débats sur les implications pour la vie privée qui les sous-tendent. Ce déploiement par la CES nous fait penser que nous devrions avoir ce débat bientôt, avant qu'il ne devienne banal.

Part

Laisser Un Commentaire