読み込み中...



電話オペレーターアプリケーションの脆弱性

言いすぎずに、すぐに問題を説明します。この記事が書かれた時点で、イタリアの主要な電話会社の公式アプリケーションのプログラミングに概念的なバグがあることに気付きました。これが既知の問題であるかどうかはわかりませんが、気づいたらすぐに通知したカスタマーサポートから、それが既知の問題ではないと通知されました。彼らはこれを技術部門に報告し、私たちに通知し続けます。

この記事では、電話事業者の名前に名前を付けません。これは、電話事業者の損害と法的な問題の発生を防ぐためです。

実際には、いわゆるMAN IN THE MIDDLE攻撃にさらされる概念上の脆弱性です。通常、このタイプの攻撃では、攻撃者がコマンドを実行したり、単に情報を取得したりするために、接続に侵入することができます。

この特定のケースでは、アプリが利用可能にする情報の大部分が参照されます。

このアプリケーションのバグの仕組み

2台のスマートフォンと携帯電話を考えてみましょう。1台目はALFAまたはプライマリと呼び、2台目はBETAまたはセカンダリと呼びます。プライマリスマートフォンは、ホットスポットモードでセカンダリスマートフォンとデータ接続を共有します。おそらく使いやすさと快適さに起因すると思われる理由により、電話事業者の公式スマートフォンアプリケーションは、執筆時点で、事業者が割り当て可能なIPのプールに属するIPアドレスを介した直接アクセスも想定しています。問題の(したがって資格情報を入力しない)、BETAスマートフォン、または共有接続に接続し、同じIPアドレスを継承し、同じアプリケーションを実行しているスマートフォンは、接続を共有するスマートフォンと同じデータにアクセスできます。 ALPHA。 

これが問題になる理由できるようになって

通常、接続は共有されており、既知の1人以上の人が接続いますが、接続とともに、不要な情報にもアクセスできる可能性があることを知っているのは正しいことです。残りのクレジットや、電話オペレーターとの契約に関するALFA電話で利用可能なすべての情報などの共有。

危険にさらされているデータ

問題の解決方法

現在、問題の発生を防ぐ唯一の方法は、接続を共有しないことです。一般に、信頼できる人と接続を共有し、パスワードを入力するのは事実ですが、私の控えめな意見では、アプリを介してオファーなどを表示および変更することはできませんIPアドレスで本物。

このエラーを発見した方法何

年も休暇をとらなかった後、私はパートナーをイタリアの島に連れて行くことにしました。不動産代理店のWebサイトで、すべてのアパートメントにwifiインターネット接続があると書かれていたとしても、ギガバイトの量が非常に限られている計画があるため、携帯電話から接続を共有することを余儀なくされました。私たちは両方とも同じ電話オペレーターを持っているため、このオペレーターの公式アプリケーションを介してプロモーションとクレジットに関する情報にアクセスします。彼女が電話を手に持って電話をかけたとき、私は別の部屋にいました。彼女のアプリケーションでは、彼女が前日見たクレジットよりも60ユーロ少なかったからです。さらに、彼女は、彼女が要求したことのないアクティブなサービスがいくつかあることを私に知らせました。その後、カスタマーサポート番号に電話をかけ、非常にフレンドリーなオペレーターが、モニターに表示されたクレジットがアプリケーションで表示されていたクレジットと異なることを通知しました。一時的な誤動作の可能性があると言われましたが、パートナーの電話にインストールされているアプリケーションを詳しく見ると、電話番号が表示されています。その時点で、私はそのことをオペレーターに通知し、動機は認証もIPアドレスを介して行われるため、アプリケーションに概念的な問題がなければならなかったという事実に関連していると推測しました。問題が実際に存在し、ケースではないことを確認するために、いくつかのテストを行いました。カスタマーサポートに電話する前に、私のパートナーは、アプリケーションから直接カードで任意にアクティブ化されたと思っていた一方的なサービスを非アクティブ化することを望んでいました。 罰則があった場合はどうなりますか?悪意のあるまたは偶発的なバインディングサービスのアクティベーションがあった場合はどうなりますか? 最後に、彼は技術部門にケースをオープンし、結果を私たちに通知することを保証することで私たちに挨拶しました。立派な会社がこの問題を解決するのに長くはかからないと思います。しかし、当面は、接続をモバイルと共有すると頭痛の種になる可能性があることをお知らせすることをお勧めします。

この記事の目的と、この記事の有用性について、

私はこの記事を書いて、自分に起こったことを他人に起こさないようにしています。この記事の目的は、機密情報が意図せずに漏れることを回避することです。オペレーターのアプリケーションがこの問題の影響を受けているかどうかを知るには、2台のスマートフォンでテストを行うだけで十分です。 2番目のスマートフォンを最初のスマートフォンの共有接続に接続した後、両方の携帯電話でオペレーターのアプリケーションを開きます。最初のスマートフォンの2番目のモバイルアプリケーションからアプリケーションデータが表示される場合は、オペレーターのアプリケーションもこの問題の影響を受けます。特に恥ずかしい状況から友人や知人を「保存」したい場合は、この記事を共有することをお勧めします。


it | en | zh | es | ar | pt | id | ms | fr | ja | ru | de

// 2019-09-23 - 2019-09-23 // @ignistech #技術 #コンピューター科学 #コンピュータセキュリティ #用途 #スマートフォン

044.EU | | 条件 | プライバシー | 乱用 | Hashtag