KEDI escooter girişiminin teknolojisi ve varsa açıkları konusunda sizlerle bu yazıyı paylaşmak istedim.. Sonuçta diğerlerine ayıp olmasın..
Bugüne kadar Martı , Binbin, Palm, Dost ve Tazı isimli escooter girişimlerinin teknolojisi ve açıklarını inceleyip sizlerle paylaşmıştım.
KEDI hem elektrikli scooter hem de bisiklet konusunda iş yapan bir girişim. Daha önce incelediğim TAZI dan daha iyi güvenliğe sahipler mobil yazılımlarında ama maalesef yine benden kaçamadılar.
KEDI de React Native ile yazılmış.. Bu yazılım dili özellikle javascript derlenince minimize edilse dahi tecrübeli gözlerden kaçamıyor.. Android e nazaran daha tehlikeli duruyor bu yazılım dili.. Android Java daha fazla uğraştırıyor eğer kodlar iyi karıştırılırsa..
KEDI authorization mekanizmasında Laravel Passport ve doğal olarak Oauth2 yi kullanıyor.. Bearer mekanizmasını da kullanıyor ki bence bunu signature yapısını da katarak kullansalar daha iyi olur.. Veri ve token ayri ayri kriptolanir sonra bu 2 veri ayrıca birleştirilip kriptolanir ve 3. Veri elde edilir sonra bunlar nokta ile birleştirilir ve bu şekilde API ile konuşur.. Yani 3. Veri diğer verinin değişmediğini kanıtlamak içindir.. Tamper olmasın diye.. Bu kısım biraz blockchain in merkle tree mantığına benzer. Ama arkadaşlar bunu maalesef kullanmamış..
Tüm server lar güzel hosting firmasında.. yazılım içinde bazı log lar kalmış yazılımcı arkadaş bunları silse iyi olur zararı yok ama..
Ubuntu üzerinde Web socket üzerinden 2. Bir server a bağlanıyor ve imei üzerinden vb araçların bilgisini güncelliyor vb işlemler yapıyor.. Hani MQTT server var ya aynen onun gibi..
Bundan başka jailbreak li bir cihazla lokal de AsyncStorage e erişebilip sakladıkları access token a erişebiliriz kendilerine söyleyeyim ama gerek bile kalmıyor..
Bugsnag error monitoring & reporting for JavaScript kullanılıyor hani crashlytics vardi ya cihaz da hata olursa bunları rapor ediyor vs
React Native Module for CodePush gördüm ki eğer kullanıyorlarsa yazılımların yeni versionlarını app store veya play store a koymadan uzaktan resim ve javascriptleri değiştirebiliyorlar..
Arka planda Node.JS olması muhtemel..
Bu arada toplam XXX adet escooter ve bisiklet var.. Tipleri vs vs yazmıyorum burada.. (Sayısını belirtmiyorum ticari sır açısından rica üzerine.)
API ve mobil tarafın güvenliği TAZI dan daha iyi ama maalesef access token ı ele geçiren biri çok rahatlıkla verilerin tümüne ulaşabiliyor.. Bu da çok tehlikeli..
Ancak bunu yapabilmek için bu konuları çok iyi bilmek ve yeni bir yazılım parçası yazıp verileri okumak gerekiyor.. Bunu BİNBİN de yapmıştım .. Burada da 🙂
Dediğim değişikliği yaparlarsa ve yine benim gördüklerimi kapatırlarsa sorun kalmaz..
KEDI ye binerken ve verilerinizi verirken DİKKATLİ OLUN diyorum..
Kalın Sağlıcakla
Selcuk Celik
