Как я Капсулу Нео от VK взломал

Операция выполнена!

info@vsetut.pro

Стать автором

Вернуться

Как я Капсулу Нео от VK взломал

11.09.2024 11:06:59 | Хабр

Хабы: Блог компании BI.ZONE, Программирование, Реверс-инжиниринг, Программирование микроконтроллеров

Всем привет. Раз уж все исправления давно в проде, а конфа OFFZONE 2024, на которой я хотел выступить (и выступил) с данным докладом, закончилась, пришло время рассказать о найденной мной уязвимости и на Хабре.

Как можно понять из заголовка, речь пойдёт о найденной мной уязвимости в умном девайсе от VK под названием Капсула Нео (далее - Капсула). Бага оказалась критическая, с возможностью исполнять собственный код на колонке по сети (RCE). Собственно, если интересно, как мне удалось её найти, с чем пришлось столкнуться за время проекта, и почему виноваты в итоге не VK - читайте под катом.

Шаг за шагом к RCE

Подробнее

Читайте также

Топ опасных уязвимости августа: под угрозой Microsoft Windows и сайты на WordPress
11.09.2024 11:04:41 | Хабр

Как оценить эффективность информационной системы
11.09.2024 11:00:15 | Хабр

«Почта России» запускает масштабное импортозамещение софта
11.09.2024 10:40:26 | it-world

[Перевод] Учёные, искавшие жизнь на Марсе, услышали сигнал, намекавший на будущие открытия
11.09.2024 10:38:30 | Хабр

Учёные обнаружили новые данные о сне и психическом здоровье спортсменов
11.09.2024 10:30:00 | ferra.ru

Три способа оптимизировать работу с памятью на Go с помощью memory pools
11.09.2024 10:03:53 | Хабр

А/Б тестирование: множественная проверка гипотез
11.09.2024 09:52:24 | Хабр

Как правильно выбрать и использовать стабилизатор напряжения
11.09.2024 09:48:51 | it-world

Врач дал советы по защите сетчатки глаза с возрастом
11.09.2024 09:45:00 | ferra.ru

«Сбер» запланировал открыть клиентам других банков доступ к биометрической оплате
11.09.2024 09:42:05 | vc.ru

[Перевод] ML-подход к заблаговременному предотвращению оттока рекламодателей
11.09.2024 09:40:09 | Хабр

Как недостаток сна влияет на здоровье
11.09.2024 09:31:04 | Хабр

Mockingbird, или Как убить всех зайцев одним выстрелом
11.09.2024 09:30:24 | Хабр

Введение в Feature Engineering для начинающих дата-сайентистов и ML-инженеров
11.09.2024 09:30:15 | Хабр

Notion умер, да здравствует Obsidian
11.09.2024 09:28:30 | Хабр

Курс «PostgreSQL для начинающих»: #4 — Анализ запросов (ч.2 — узлы получения данных)
11.09.2024 09:25:12 | Хабр

Проблему розничных сетей решают готовые наборы дашбордов: BI для малых и средних компаний
11.09.2024 09:09:54 | Хабр

Безопасность для небезопасников
11.09.2024 09:09:32 | Хабр

В России создали аналог Оземпика, который надо пить, а не колоть
11.09.2024 09:08:03 | ferra.ru

[Перевод] ViewModels в Android: «за» и «против». Часть 2
11.09.2024 09:02:21 | Хабр

Будни техпода. Какую ОС семейства Linux выбрать для VDS
11.09.2024 09:00:18 | Хабр

Раскрыто, зачем человеку нужны мочки ушей
11.09.2024 09:00:00 | ferra.ru

Хакатон с результатом: как мы разработали инструмент для обмена новостями на уровне всей компании
11.09.2024 08:55:40 | Хабр

Издевательский минимализм: Apple перестанет класть шнур зарядки в коробку с наушниками AirPods 4
11.09.2024 08:53:02 | ferra.ru

Сократические диалоги. 2. О самосознании и самоидентификации айтишников
11.09.2024 08:47:23 | Хабр

Хабрахабр. Легенда о комьюнити
11.09.2024 08:40:52 | Хабр

iPhone 16 стал обсуждаемой темой в Китае... но не так, как хотела бы Apple
11.09.2024 08:36:02 | ferra.ru

День 931: в августе аренда жилья в России подорожала больше, чем за весь второй квартал 2024 года
11.09.2024 08:31:19 | vc.ru

Трансформация или чемодан без ручки (часть 2) Как избежать кризиса с ключевыми сотрудниками?
11.09.2024 08:30:15 | Хабр

Диаграммы классов UML из PostgreSQL. Окончание
11.09.2024 08:28:11 | Хабр

Автотесты на Java для websocket на SockJS
11.09.2024 08:28:05 | Хабр

Итоги ICDAR-2024: Как и зачем нужно делать распознавание объяснимым
11.09.2024 08:26:01 | Хабр

Проявление свойств эфира: доказано экспериментами
11.09.2024 08:24:55 | Хабр

В Австралии запретят TikTok и прочие соцсети детям младше 14-16 лет
11.09.2024 08:19:02 | ferra.ru

Учёные объяснили, как лесные пожары вызывают дождь и меняют погоду
11.09.2024 08:15:00 | ferra.ru

Смотреть все

НОВОСТИ

Никол Пашинян назвал Россию другом и анонсировал визит
28.03.2026 15:03:05 | Life.ru

Лыжница Вероника Степанова стала первой в Финале Кубка России в Апатитах
28.03.2026 15:00:16 | Life.ru

Церковь против тату: какие наколки неминуемо превратят ваше тело в логово тёмных сил
28.03.2026 15:00:00 | Life.ru

Бритни Спирс вернулась в соцсети с кринж-видео, снятым сыном Джейденом
28.03.2026 14:59:05 | Life.ru

Турция обвинила Израиль в подрывной деятельности по одному вопросу
28.03.2026 14:58:27 | Lenta.ru

Финская активистка объяснила, почему наёмники едут воевать на Украину
28.03.2026 14:57:52 | Life.ru

Российские синхронистки взяли золото в дуэтах на этапе КМ в Париже
28.03.2026 14:57:30 | РБК

Белый дом запустил сайт OnlyFarms и показал золотой трактор
28.03.2026 14:56:31 | РБК

Редактор Красной книги рассказал, почему появляются «конфликтные» тигры
28.03.2026 14:52:45 | РБК

Некоторых россиян призвали отказаться от пельменей
28.03.2026 14:52:42 | Lenta.ru

Иран сообщил об ударе по «украинскому складу» в Дубае с 21 украинцем
28.03.2026 14:51:31 | РБК

В Гоа коллапс: Местные и туристы охотятся за бензином, цены выросли в 9 раз
28.03.2026 14:51:20 | Life.ru

Хуситы атаковали баллистическими ракетами военные объекты Израиля
28.03.2026 14:48:00 | Российская Газета

В Махачкале подтоплены из-за сильных дождей около 20 домов
28.03.2026 14:46:56 | Life.ru

Неизвестный открыл стрельбу и взорвал гранату в Одессе
28.03.2026 14:43:44 | Life.ru

Турков призвали поменьше мыться
28.03.2026 14:41:28 | Lenta.ru

Премьер-министр Пакистана провел телефонный разговор с президентом Ирана
28.03.2026 14:40:00 | Российская Газета

ВСУ атаковали хранилище с 700 тоннами зерна в Херсонской области
28.03.2026 14:39:08 | ТАСС

Женщина погибла на глазах у мужа и детей при атаке дрона ВСУ по авто
28.03.2026 14:39:01 | Life.ru

Женщина погибла на глазах у мужа и детей при атаке дрона в Запорожской области
28.03.2026 14:39:01 | Life.ru

Рыжий кот «застрял в текстурах», отчаянно пытаясь избежать встречи с ветеринаром
28.03.2026 14:39:00 | Life.ru

В МИД Украины высказались об ударе Ирана по украинскому складу в Дубае
28.03.2026 14:39:00 | Lenta.ru

Заммэра и главе управления ЖКХ Челябинска предъявили обвинение
28.03.2026 14:38:40 | РБК

АВС опубликовал видео, где F/A-18 был почти сбит в небе над Ираном
28.03.2026 14:37:08 | ТАСС

Украинский склад в Дубае попал под удар во время визита Зеленского в ОАЭ
28.03.2026 14:36:31 | Lenta.ru

Энтузиаст подключил к GeForce RTX 3080 серверную СЖО — температура чипов памяти упала на 54 °C, температура GPU снизилась на 26 °C
28.03.2026 14:36:00 | iXBT.com

В Дагестане проводят проверку по факту обрушения железнодорожного моста
28.03.2026 14:35:51 | ТАСС

Стало известно о выпавшем из окна в Москве студенте одного из лучших российских вузов
28.03.2026 14:35:02 | Lenta.ru

Пассажиры рейса Air Serbia третий день не могут приземлиться в Петербурге
28.03.2026 14:34:37 | Life.ru

ATX 3.1, разъём 12V-2x6, мощность до 850 Вт и никакой модульности ради низких цен. Представлены блоки питания Gamemax Max PB
28.03.2026 14:32:00 | iXBT.com

В ГД намерены запретить взимание платы за звонки на горячие линии авиакомпаний
28.03.2026 14:31:45 | ТАСС

Пенсионерка из Москвы отдала мошенникам 25 миллионов рублей
28.03.2026 14:30:48 | Life.ru

Названы десять поломок, которые водители готовы починить сами
28.03.2026 14:30:00 | За рулем

По приговору суда: злостным нарушителям установят в машину «скоростную няньку»
28.03.2026 14:30:00 | За рулем

Часть Чечни осталась без света из-за непогоды
28.03.2026 14:29:33 | ТАСС

Все новости

ВСЕ НОВОСТИ

ПИШИТЕ

Техническая поддержка проекта ВсеТут

info@vsetut.pro

Copyright © 2026 - vsetut.pro