Een Poolse beveiligingsonderzoeker is erin geslaagd gratis bier te krijgen door het hacken van een "bonuskaart-app" voor Android. Om welke app het precies gaat wil onderzoeker Kuba Gretzky niet zeggen, aangezien die alleen in Polen wordt gebruikt.

Door zijn onderzoek naar buiten te brengen wil hij echter meer inzicht geven in wat voor soort kwetsbaarheden soortgelijke apps kunnen hebben. De app in kwestie geeft gebruikers bonuspunten bij het afrekenen van eten of drinken in restaurants, bars of cafés. Deze bonuspunten zijn vervolgens voor bier of eten in te wisselen. Als gebruikers de Android-app hebben geïnstalleerd kan het restaurant, bar of cafe de aankoop bevestigen door een speciaal bluetooth-apparaat over de smartphone heen te halen of als dat niet werkt in de app een code in te voeren. Zodra de aankoop via de app is bevestigd krijgt de gebruiker zijn bonuspunten.

"Iedereen houdt van gratis bier, dus het eerste waar ik benieuwd naar was, was de veiligheid van het verificatieproces en hoe deze bluetooth-apparaten werken", aldus Gretzky. De app en het apparaat communiceren via bluetooth met elkaar. De onderzoeker had al gauw achterhaald dat de apparaten en technologie door het bedrijf Estimote zijn ontwikkeld. De app detecteert dat het apparaat van een bepaald restaurant in de buurt is, haalt een identificatiewaarde op van het apparaat en gebruikt die om nieuwe bonuspunten via de app-server te registreren.

Estimote heeft een softwareontwikkelingskit (SDK) met uitgebreide informatie beschikbaar gesteld. Hierdoor kon Gretzky de werking van het gebruikte protocol en verificatieproces achterhalen. Door vervolgens het verkeer te analyseren dat bij het verificatieproces wordt uitgewisseld ontdekte hij de code die de bonuspunten bevestigt. Deze code kan worden aangepast en steeds opnieuw worden verstuurd, zodat de app-server ook bonuspunten goedkeurt voor aankopen die helemaal niet zijn gedaan.

Gretzky vermeldt nergens dat hij de problemen heeft gerapporteerd of dat die zijn verholpen. Wel sluit hij zijn analyse met verschillende aanbevelingen af om dergelijke problemen te voorkomen, zoals het niet vertrouwen van de smartphone van gebruikers met autorisatiesleutels en het gebruik van certificaatpinning, zodat versleuteld verkeer niet eenvoudig via vervalste certificaten kan worden onderschept. Ook zouden er maatregelen kunnen worden genomen om het analyseren van de app lastiger te maken. Verder wordt het gebruik van encryptie aangeraden in de apparaten die met de smartphone van de klant communiceren.