McDonald's terminal crashen mit QR Code?
Mir hat jemand geschrieben daß es einen qr Code gibt den man an den bestellautomaten hält und dann der Automat crasht stimmt das?
1 Antwort
Noch nicht davon gehört, aber macht durchaus Sinn.
Vielleicht ist sogar eine SQL Injection mit dem QR-Code möglich. Denke aber dass die Entwickler von dem Teil nicht SOOO dumm waren.
Aber ja, QR-Codes sind auch nur Texte. Und wenn du ein Gänsefüßchen oder so im QR-Code schreibst, dann kanns schon passieren, dass das Teil abschmiert, wenn damit nicht richtig umgegangen wird.
Ne, ich will von dir mal die Begründung hören wie SQl Injection möglich sein soll oder ein Gänsefüßchen im code dafür sorgt dass der terminal crasht. Dann beantwortest du dir deine Frage schon selbst.
Indem das Terminal den Binär-Code in ASCII (o.Ä.) umwandelt.
Und wenn dann sowas da steht:
String input = Ascii(qrBytecode);
Und ein Gänsefüßchen im QR-Code ist (natürlich in Bits, in Ascii) dann ließt die Maschine das als
input = " irgendetwas"undhierstehtauchwas "
Und tada, das „ undhierstehtauchwas" “ ist nicht mehr teil des Strings. -> Crash.
Wo ist mein Denkfehler?
Meinst du nicht der Terminal sagt dann "Code nicht lesbar" anstatt gleich abzustürzen?
Kommt drauf an wie weit die gedacht haben/ob die da den error catchen. Und wenn man
"; crash[0]=1;"
eingibt, dann isses (wenn ich mich nich irre) auf einmal n ganz anderer error nämlich nullpointer.
du hast nicht zufällig so eine art code?
Die letzten Jahre unter einem Stein gelebt? Sowas funktioniert ständig und überall! Du ahnst gar nichty wie sehr ITler pfuschen können!
Du brauchst hier jetzt nicht wie wild hundert mal deinen Senf dazu zu geben. Du bist echt nervig. Du laberst nur blöd rum
Ich bin hier jetzt von einem Bestell Terminal ausgegangen. Ich gehe mal davon aus dass Bestellungen im QR Code sind und Mehr nicht. Ich bin gelernter IT-Systemelektroniker. Ganz dumm in dem Thema bin ich also nicht. Ich bezweifle dass das Bestellterminal abstürzt bei einem Gänsefüßchen und Befehle zum Knacken der Datenbank einfach als "fehlerhafter code" abgewiesen werden. rein logisch
Man merkt, dass du noch nicht viel mit sicherheitsrelevanten Themen zu tun hattest.
Es ist leider die Regel, dass solche Angriffe möglich sind.
Sie sind möglich. Natürlich. Ich hab auch schon davon gehört. Keine Frage. Nur ein Bestellterminal bei McDonalds zu crashen? Ihr rudert hier halt zu weit raus.
Ich bin hier jetzt von einem Bestell Terminal ausgegangen.
Ich auch. Ich war schon bei McDonalds, ich kenne die Terminals.
Ich gehe mal davon aus dass Bestellungen im QR Code sind und Mehr nicht
Ja, irgendwas womit man das identifizieren kann. Eine ID des Produktes, vielleicht noch ne GutscheinID wenn es ein Gutschein ist, sowas in der Richtung. Vielleicht auch direkt ein Link zum Produkt, damit man ihn auch einscannen kann.
Ich bin gelernter IT-Systemelektroniker
Aha.
Ich bezweifle dass das Bestellterminal abstürzt bei einem Gänsefüßchen
Tatsächlich ist genau sowas die Sicherheitslücke Nummer eins bei Webapps. (https://owasp.org/www-project-top-ten/) Warum? Weil die Daten in einen Befehl eingefügt werden und dann als String an einen Interpreter geschickt werden. Wenn das ganze ein falscher Input ist, sollte er abgewiesen werden. Aber was passiert, wenn ich in meinem QR Code den Befehl schließe, und dann einen neuen starte? Oder wenn ich ein Zeichen einfüge, das nicht als ASCII interpretiert werden kann? Chinesische Zeichen? Wie wird der Computer reagieren? Das die Anwendung abstürzt ist definitiv möglich.
rein logisch
Wenn alles, was Menschen (besonders welche, die sich mit IT-Security nicht auskennen) für logisch halten, auch so wäre, gäbe es deutlich weniger Lücken. Der PC tut halt nicht das, was du von ihm erwartest, sondern was du ihm sagst. Und Fehler machen wir alle.
Wie gesagt: Man merkt, dass du keine Erfahrung mit solchen Dingen hast. Würdest du dich damit befassen, würde dir schlecht werden, bei dem, was so alles möglich ist.
Das ist alles keine graue Theorie, sondern ganz praktisch möglich!
Sowas ist tatsächlich eine der ersten Sachen, die man macht wenn man mal einen Workshop zu IT-Security macht. Jetzt nicht bei McDonalds, aber an Dummyobjekten. Hier sind z.B. Folien des CCCs.
https://events.ccc.de/congress/2013/wiki/images/e/e3/LT-Speeding_up_time_based_blind_sqli_30c3.pdf
Ja Tina, Alles am Bestellterminal ist möglich. Nur macht das irgendwie keiner, hab ja nach vorfällen gegooglt. Ich will echt mal dass jetzt einer von euch schlauköpfen sich ransetzt und einen terminal bei mecces mittels eines QR Codes hackt. Ich bin gespannt.
Du rufst öffentlich zu einer Straftat auf? Mutig!
Krass finde ich, dass hier jemand mit absolut Null Ahnung mehreren Fachleuten erklären will, dass es die Top-Sicherheitslücke der letzten 20 Jahre kaum gibt, weil wegen Bauchgefühl und so.
Was für eine Argumentation! Hast du Lamanis Links wenigstens mal überflogen?
Au weia, hoffentlich musst du nicht mal irgendwas programmieren ...
Ich hab schon viel programmiert leider. die armen Firmen :-D
Ich auditiere Drittsoft- und Hardware beruflich, mit Schwerpunkt Sicherheit.
Und ja, das was du schreibst stimmt absolut! Die meisten Systeme enthalten Lücken, die von jedem Skriptkiddie ausgenutzt werden könnten.
Nochmal: Du bist Laie auf dem Gebiet! Hör auf, uns Fachleuten zu erklären, dass die Welt so ist, wie du sie dir vorstellen willst!
Mädel, wir reden hier von Bestellterminals.... Lass mich bitte jetzt in ruhe. denk dir dein teil und antworte bitte nicht mehr. danke
So denken sehr viele Menschen. Die Firma ist groß, also wird da schon nichts hackbar sein. Nur leider ist das nicht so. Firmen machen dauernd etwas dummes. Man denke daran als man unendlich Burger bei McDonalds kaufen konnte, indem man das Fleisch aus der Bestellung entfernt hat, und die Burger damit kostenlos wurden. Computer sind unglaublich komplexe Maschinen. Und bei ihrer Bedienung macht man Fehler. Wenn du ein paar Millionen Zeilen Code hast passiert das. Du hast falsch gelegen, das habe ich dir oben gezeigt. Solche Fehler passieren dauernd. Du hast dich vertan. Und gut ist. Jetzt hier zwanghaft irgendwas mit "mach mal, mach mal" beweisen zu wollen, bringt auch nichts mehr.
Viele Leute machen diesen Fehler, und behaupten dann, dass irgendetwas gar nicht sein kann, weil ja die Sicherheit unglaublich gut sein soll (https://www.reddit.com/r/ProgrammerHumor/comments/8alrts/most_of_the_thread_of_t_mobile_austrias_super/)
Aber im Endeffekt endet es damit, dass die Leute, die sich zu sehr darauf verlassen, dass etwas unhackbar sei, dann mit dem Schaden dastehen. So wie TMobile, die dann gehackt wurden.
Ich antworte, wann ich will. Es steht dir frei mich zu ignorieren.
Fakt ist, dass hier ein Laie Quark erzählt und jetzt nicht die Größe hat, das auch zu akzeptieren.
ich weiß nicht warum ihr euch so reinsteigern müsst. aber ich bleibe bei dem punkt dass die bestellterminals bei mecces nicht mit einem QR Code gehackt werden können. basta!
Ich steigere mich rein? Ich habe dich auf einen Fehler hingewiesen, den du gemacht hast, während du versucht hast, jemanden auf einen angeblichen Fehler hinzuweisen. Und das ist nicht schlimm. Daraus lernt man. Wie will man als Mensch was wissen, ohne von anderen zu lernen. Dafür ist unsere Welt einfach zu komplex geworden.
Sorry aber dein Codeexample ist genauso fehlerhaft wie deine denkensweiße...
Jo dann hau doch bitte ne Erklärung/Begründung raus und nich nur ne Behauptung. 💁🏻♂️
Dass man mit QR-Codes Injecten kann sollte dank dem letzten Video ja klar sein. Aber: Wieso geht das bei McDonalds-Automaten nicht?
oder wo ist meine Denkweise fehlerhaft?
da man mit quots im String keinen Code crashen kann du sherlock😂
Google mal SQL Injection du Sherlock.
Jenachdem wie die Sprache den String einliest geht das sehr wohl.
Hä was hat SQL Injection mit String Formatting zutun und jede neue Sprache hat ein Parsingmodule
Wer sagt denn was von String Formatting??
Und Mein Beispiel oben, in dem ich erklär dass das Programm dann sieht „Oh, hier ist ein Gänsefüßchen, hier muss der String enden“ is doch ganz klar ne typische SQL-Injection oder hab ich da was falsch verstanden?
Und jo, das stimmt, war ja nur ein Beispiel damit er checkt was eine Injection ist. In Python Java und co gehts natürlich nich so einfach. Aber auch da gibts gewisse Vulnerabilities. Und ich könnte wetten beim QR-Code-Scanner auch.
Verstehe glaube jetzt was du meinst, aber das Programm komprimiert Sonderzeichen in +abc123 oder in sonstiges das sowas nicht passiert
So ein Unsinn, Sorry