Unsicherheit by Design - ein Thread Alles allein auf dem Handy. Verwendete Apps: 1 mobiler Browser, 1 QR Code Leser

6:06 PM · Apr 5, 2021

29
349
132
747
1. QR Code einer Location finden - ausgedruckt, online, kopiert, egal welche Form Im Test: ein fiktiver Ort in Meißen
2
6
4
108
2. QR Code Leser: Bild entschlüsseln. Ergebnis: eine URL, die an L. weitergeleitet zum Check-in führt Standardfunktion von vielen Apps.
1
3
0
98
3. URL kopieren. Wesentlich ist die kryptischeZahl hinter /webapp/
2
2
1
91
4. Browser: .../scanner/ vor kryptischeZahl einsetzen Ergebnis: Anzahl der Check-ins der Location, insgesamt 1, aktuell 0.
3
4
2
106
5. Dazu braucht es keinen Login, kein Passwort, keine Nähe zur Location (bin in MV, der Ort ist in Meißen). But wait, da ist noch mehr.
Replying to @sand1drn
4. Browser: .../scanner/ vor kryptischeZahl einsetzen Ergebnis: Anzahl der Check-ins der Location, insgesamt 1, aktuell 0.
Show this thread
1
4
0
99
6. .../scanner/can/ einfügen, dann kryptischeZahl Ergebnis: der Scanner der Location Ich hab mal eben 2 Test-Schlüsselanhänger aus Ahlen, Westfalen eingecheckt in Meißen.
4
4
2
106
7. 2/3 sind jetzt eingecheckt im Testladen "Luca test Meissner". Aber wo ist der Laden eigentlich? Das könnte ein Frauenhaus sein, eine Selbsthilfegruppe, ...
1
4
1
99
8. .../api/v3/scanners/kryptischeZahl führt weiter. Ergebnis unter anderem: die "locationId". Und das ist tatsächlich die Identifikationsnummer der Location.
1
2
0
108
9. .../api/v3/locations/ und dann die neue kryptischeZahl. 😓
1
2
0
94
10. Ergebnis nach den paar Schritten vom QR Code über Einlesen und dann weiter im Handybrowser: "streetName":"Dresdner Straße","streetNr":"5","zipCode":"01662","city":"Meißen","state":"Sachsen","lat":51.1503491,"lng":13.4925709,
1
8
1
120
11. Was ist schlimmer: Dass jeder mit L. überall Leute einchecken kann, ohne dass sie es ahnen? Oder dass jeder Adressen und Check-in-Zahlen von Locations nachschauen kann? Beides ist Unsicherheit by Design.
3
56
6
290
12. Ich weiß nicht, wie lang das schon möglich ist bei L. - jedenfalls fehlt es da an Sicherheit. In Tweet 6. sollte das .../scanner/cam/ mit m sein. Vielen Dank fürs Lesen aus der Altstadt von Wismar
4
4
1
176
8/9 sind gerade bei Luca test Meissner eingecheckt. Der eine davor war beim Anlegen, 2 sind die aus Ahlen, bleiben 6 andre
2
3
0
64