Ich denke, dass viele von Ihnen das Media Center auf der Rückseite des Sessels teurer Fluggesellschaften genutzt haben oder zumindest gesehen haben, wie es funktioniert. Dort können Sie Filme, Musik und sogar primitive Spiele auf dem Joystick ansehen.
Aber was ist, wenn dieses Gerät viele Stunden vor Ihren Augen steht und Sie sich sehr langweilen? Achten Sie natürlich auf Schwachstellen und Mängel der Benutzeroberfläche! Suchen Sie sie und senden Sie sie zur Reparatur an den technischen Support.
Was ich tatsächlich getan habe, aber ich habe eine Möglichkeit veröffentlicht, die Benutzeroberfläche zu umgehen, bevor die Fehler behoben wurden. Wenn Sie wissen möchten, warum ich das getan habe, was sich unter der Oberfläche des Media Centers befindet und was Turkish Airlines in ihrer Freizeit unterstützt - lesen Sie unter dem Schnitt.
Was ist das Problem mit eingebetteten Geräteschnittstellen?
Leider weisen viele Geräte im Internet der Dinge kleinere Mängel auf, die es ihnen ermöglichen, die „Standard“ -Schnittstelle zu umgehen und in das Betriebssystem zu gelangen. Ich finde solche Fehler oft gern zu meinem Vergnügen, aber nicht zum Nachteil von Geräten und der Öffentlichkeit. Sie lernen, wie Sie die eines anderen hacken - Sie werden verstehen, wie Sie Ihre Software schützen.
Viele Schnittstellenentwickler achten nicht genug auf die Sicherheit, was den Benutzern schaden kann. Dies ist jedoch sehr schwerwiegend. Ein Angreifer kann mithilfe von Phishing personenbezogene Daten stehlen. Naive Benutzer können ihre Passwörter und Kreditkarteninformationen in ein Gerät eingeben, das ihnen auf den ersten Blick keinen Schaden zufügen kann.
Lange Flugstunden
Dies war nicht mein erster Flug mit Turkish Airlines, und ich habe bereits die Medienzentren mehrerer Flugzeuge dieser Firma gesehen. Sie können ein Windows CE-Gerät von Android unterscheiden, indem Sie die Funktion der Touchscreen-Gesten überprüfen. Unter Windows CE gibt es keine Multitouch-Unterstützung. In Windows CE sind
Touchscreens immer resistiv und in Android fast alle kapazitiven.
Diesmal habe ich ein Media Center für Android. Die Schnittstellen sind vom Auge her gleich, aber die Unterschiede sind sofort spürbar. Während keiner der Mitarbeiter in meine Richtung schaute, begann ich mögliche Mängel zu untersuchen. Einige Geräte können mit nur einem Finger untergeordnet werden, aber nicht mit diesem.
Die Sitze verfügen über integrierte Kopfhöreranschlüsse, einen Joystick sowie einen Ethernet- und USB-Anschluss. Auf Windows CE-Geräten an Bord war es deaktiviert. Ich habe mich entschlossen, auch hier einen USB-Stick anzuschließen.
Die Meldung „USB-Gerät erkannt“ wird angezeigt.
Ich habe den Wiedergabeabschnitt von einem USB-Laufwerk gefunden. Es gibt drei Abschnitte: JPG, MP3, PDF.
Dann habe ich eine beliebige PDF-Datei auf einem USB-Stick gespeichert und wieder mit dem Media Center verbunden. Infolgedessen erschien er auf der Liste und öffnete erfolgreich.
Unten kamen die Standard-Android-Schaltflächen. Wenn Sie auf die Schaltfläche Home klicken, fängt das Programm ab und kehrt zum Media Center zurück. Diese Tasten sind also nutzlos.
Um weiter zu gehen, habe ich mit meinem Finger einen Text ausgewählt und in der oberen rechten Ecke wurde ein Menü angezeigt.
Über das Menü "Freigeben" erhielt ich Zugriff auf "Mail" und "Nachrichten", wo sich herausstellte, dass das Dateisystem angezeigt wurde.
Darin befand sich ein 64-GB-Flash-Laufwerk, höchstwahrscheinlich MicroSD. Über dasselbe Menü und über die Schaltfläche "Websuche" wurde Google Chrome gestartet.
Aber das Internet war nicht da. Vielleicht wird es auf anderen Flügen sein.
Dann habe ich versucht, die Datei / etc / hosts zu öffnen, was sich als erfolgreich herausstellte.
Zu meiner Überraschung stellte sich heraus, dass sie weder einen DHCP-Server noch DNS verwenden. Alle Geräte im Flugzeug, einschließlich des Streaming-Servers, sind in der Konfigurationsdatei des Hosts registriert.
Dann gelang es mir, die Dateien zu kopieren, einschließlich der Änderung der Datei / etc / hosts mit meiner eigenen, wonach ich sie zurückgab. Auf diese Weise können Sie den Medienserververkehr auf eine beliebige IP-Adresse umleiten und die Webelemente des Media Centers selbst durch Ihre eigenen ersetzen. Ich habe keine Möglichkeit veröffentlicht, die Datei zu ersetzen.
Es stellt sich heraus, dass Sie zu allen Media Centern gehen und diese mit
Phishing- Seiten füllen oder ein Werbebanner anhängen können, das nur von der technischen Abteilung entfernt werden kann. Dies ist eindeutig eine Bedrohung für die Sicherheit von Reisenden, und ich habe beschlossen, alles an diejenigen zu senden, die Turkish Airlines unterstützen.
Kontaktaufnahme mit Turkish Airlines
Im Flugzeug habe ich ein Video des gesamten Prozesses vorbereitet und gedreht, um Turkish Airlines zu unterstützen. Es enthält nur das, was der Support zeigen muss, um Schwachstellen zu beseitigen.
Leider war es dunkel, deshalb entschuldige ich mich für die Qualität der Videos und Bilder in diesem Artikel.
Ich habe dieses Video vor einem Monat auf YouTube hochgeladen. Nachdem ich den privaten Status geändert hatte, wurde das Datum zurückgesetzt. Der Link war privat. Niemand außer mir und dem Support konnte das Video sehen. Ich habe den Support von Turkish Airlines angerufen und nicht das erste Mal, aber ich konnte erklären, dass ich versucht habe, ihnen zu helfen. Sie erklärten genau auf ihrer Website, wo sie einen Appell schreiben sollten.
Nachdem ich die Bewerbung mit dem Videolink gesendet hatte, erhielt ich vom Roboter einen Brief, dass er mir innerhalb von 7 Tagen antworten wird. Nach dem Senden des Videos überprüfte ich von Zeit zu Zeit den Anzeigezähler, um festzustellen, ob die Unterstützung angezeigt wurde. Die Nummer änderte sich nicht.
Warten auf eine Antwort vom Support
2 Wochen vergingen, die Antwort wurde nie erhalten und ich beschloss, sie auf Twitter @TK_HelpDesk zu schreiben. Ich erhielt sofort eine Antwort, sie sagten, dass sie meine Anfrage prüfen und schneller antworten würden.
Ein Monat ist vergangen, es gibt keine Antwort, ich gehe zu YouTube und es gibt 175 Aufrufe und 4 Abneigungen.
Laut YouTube-Analyse stammt der Link aus verschiedenen Ländern. Jemand vom technischen Support von Turkish Airlines hat den Link zum öffentlichen Zugang durchgesickert. Erstens - es ist für sie nicht professionell und zweitens - wurde klar, dass jemand von den Zuschauern wahrscheinlich eine Kopie herunterladen oder sein Video über den Hack aufnehmen wird. Es macht also keinen Sinn, das Video privat zu halten, und ich habe beschlossen, es zu veröffentlichen.
Ich habe das Video für die Öffentlichkeit zugänglich gemacht und danach haben sie mir vom Support über Twitter @TK_HelpDesk in HP und auch
hier geschrieben . Sie sagen "wir haben dir am 9. geantwortet", ich habe gesucht, gefunden, es gibt wirklich einen Brief. Sein Text ist jedoch keineswegs eine Antwort auf meine Anfrage, sondern "Wir möchten unser Bedauern darüber ausdrücken, dass wir Ihr Feedback aufgrund der Intensität nicht rechtzeitig beantworten können", wo sie sich entschuldigen, dass sie aufgrund der Belastung nicht rechtzeitig antworten können und später antworten werden . Eine Antwort auf mein Ticket ist noch nicht eingegangen.
Nachwort
Mein Rat ist, wenn Sie eine Schnittstelle für ein Terminal oder ein Gerät mit Touchscreen entwickeln, achten Sie mehr auf die Integration Ihres Programms in das Betriebssystem selbst.
Ich hoffe, mein Artikel hilft jemandem, seine Geräte ein wenig zuverlässiger zu machen.
Nach meiner Erfahrung war es am schwierigsten, die Benutzeroberfläche auf Geräten zu umgehen, die auf Windows XP und Windows CE basieren.