загрузка...



Уязвимость приложения телефонного оператора

Не говоря слишком много, я немедленно объясню вам, в чем проблема. Во время написания этой статьи я заметил концептуальную ошибку в программировании официального приложения одного из крупнейших телефонных операторов Италии. Я не знаю, является ли это известной проблемой, но служба поддержки, которую я уведомил, как только заметил, сказала, что это не известная вещь. Они сообщат об этом в технический отдел и сообщат нам.

Я не буду называть имя этого телефонного оператора в этой статье, чтобы избежать его повреждения и возникновения правовых проблем.

На практике это концептуальная уязвимость, которая подвергается так называемой атаке «Человек в середине». Этот тип атаки обычно позволяет злоумышленнику проникнуть в соединение с целью выполнения команд или просто получения информации.

В этом конкретном случае делается ссылка на большую часть информации, которую приложение делает доступной.

Как работает ошибка этого приложения

Давайте представим два мобильных телефона для смартфонов: первый мы назовем его ALFA или основной, а второй назовем BETA или дополнительный. Основной смартфон использует соединение для передачи данных со вторым смартфоном в режиме горячей точки. Поскольку по причинам, предположительно связанным с простотой использования и удобством, официальное приложение для смартфона телефонного оператора на момент написания также предусматривает прямой доступ через IP-адрес, принадлежащий пулу IP-адресов, назначаемых оператором. (без указания учетных данных) смартфон BETA или смартфон, который подключается к общему соединению, наследует тот же IP-адрес, работает с тем же приложением, имеет доступ к тем же данным, что и смартфон, который использует соединение, или ALPHA. 

Почему это может быть проблемой

Несмотря на то, что обычно соединение является общим, чтобы позволить одному или нескольким известным нам людям соединяться, правильно, что мы знаем, что вместе с соединением мы также предоставляем возможность доступа также к информации, которая может нам не понадобиться. поделиться, например, оставшимся кредитом и всей информацией, имеющейся на телефоне ALFA относительно нашего контракта с телефонным оператором.

Какие данные находятся в опасности

Как решить проблему

В настоящее время единственный способ предотвратить возникновение проблемы - это не использовать ваше соединение. Хотя это правда, что обычно вы делитесь своим подключением с доверенными лицами и вводите пароль, также верно, что, по моему скромному мнению, невозможно просматривать и изменять предложения и т. Д. Через приложение, которое вы аутентичные с IP-адресом.

Как я обнаружил эту ошибку

После нескольких лет отсутствия в отпуске я решил отвезти своего партнера на итальянский остров. Даже если на веб-сайте агентства недвижимости было написано, что для всех квартир есть Wi-Fi, я был вынужден поделиться своим подключением со своего мобильного телефона, потому что у вас есть план с очень ограниченным количеством гигабайт. У нас обоих один и тот же телефонный оператор, и поэтому мы получаем доступ к информации, касающейся рекламных акций и кредитов, через официальное заявление этого оператора. Я был в другой комнате, когда мне позвонила моя девушка, держа в руке телефон, потому что по ее заявлению она была на шестьдесят евро меньше, чем кредит, который она видела накануне. Кроме того, она сообщила мне, что существует несколько активных служб, которые она никогда не запрашивала. Затем мы позвонили по номеру службы поддержки, и очень дружелюбный оператор сообщил нам, что кредит, отображаемый на их мониторах, отличается от того, который мы просматривали в приложении. Нам сказали, что, возможно, это может быть временная неисправность, но при более внимательном рассмотрении приложения, установленного на телефоне моего партнера, я вижу свой номер телефона. В этот момент я проинформировал оператора об этом, и мы пришли к выводу, что мотивация связана с тем фактом, что, поскольку аутентификация также осуществляется по IP-адресу, в приложении должна была возникнуть концептуальная проблема. Чтобы убедиться, что проблема действительно была и что это не так, мы провели несколько тестов. Прежде чем позвонить в службу поддержки, моя партнерша хотела отключить незапрошенные услуги, которые, по ее мнению, были произвольно активированы на ее карточке непосредственно из приложения. Что бы произошло, если бы были штрафы? Что бы произошло, если бы были злонамеренные или случайные активации обязательных сервисов? В конце концов он поприветствовал нас, заверив нас, что откроет дело в техническом отделе и сообщит нам о результате. Я представляю, что респектабельная компания не долго будет решать эту проблему. Но в то же время я подумал, что было бы неплохо сообщить вам, что совместное использование соединения с вашим мобильным телефоном может вызвать головную боль.

Цель этой статьи и кому она может быть полезна,

я написал эту статью, чтобы предотвратить то, что случилось со мной, от других. Цель этой статьи - избежать непреднамеренного сброса конфиденциальной информации. Чтобы узнать, не связана ли эта проблема с приложением вашего оператора, достаточно выполнить тест с двумя смартфонами. Откройте приложение вашего оператора на обоих мобильных телефонах после подключения второго смартфона к общему соединению первого, и если вы видите данные приложения из второго мобильного приложения в первом, то это означает, что это также приложение вашего оператора подвержен этой проблеме Если вы хотите «спасти» своих друзей или знакомых от особенно неловких ситуаций, я рекомендую вам поделиться этой статьей с ними.


it | en | zh | es | ar | pt | id | ms | fr | ja | ru | de

// 2019-09-23 - 2019-09-23 // @ignistech #технологии #информатика #компьютернаябезопасность #приложение #смартфон

044.EU | дома | термины | Cекретность | злоупотребление | Hashtag