Vulnérabilité de l’opérateur

Sans faire trop de tours de mots, je vais vous dire tout de suite quel serait le problème. Au moment de la rédaction de cet article, j’ai remarqué un bug de programmation conceptuelle de l’application officielle de l’un des plus grands opérateurs téléphoniques en Italie. Je ne sais pas si c’est un problème connu, mais le soutien à la clientèle que j’ai alerté dès que j’ai remarqué m’a dit que ce n’était pas une chose connue. Ils vont le dire au départ ement technique et nous tenir informés.

Je ne nommerai pas cet opérateur téléphonique dans cet article pour éviter de l’endommager et d’engager des contestations judiciaires.

Dans la pratique, il s’agit d’une vulnérabilité conceptuelle qui vous expose à une attaque dite MAN IN THE MIDDLE. Une telle attaque permet généralement à un attaquant de se faufiler au milieu d’une connexion dans le but d’exécuter des commandes ou tout simplement d’acquérir des informations.

Dans ce cas particulier, une grande partie des informations que l’application fournit est mentionnée.

Fonctionnement du bug de cette application

Imaginez deux téléphones mobiles smartphone, le premier que nous l’appellerons ALFA ou primaire et le second nous l’appellerons BETA ou secondaire. Le smartphone principal partage la connexion de données avec le smartphone secondaire en mode hotspot. Parce que, pour des raisons supposées dues à la facilité d’utilisation et de commodité, l’application officielle smartphone de l’opérateur téléphonique, au moment de la rédaction, envisage également un accès direct via l’adresse IP appartenant à la piscine ip assignable par l’opérateur en question (donc sans entrer d’informations d’identification), le smartphone BETA, c’est-à-dire le smartphone qui se connecte à la connexion partagée, héritant de la même adresse IP, exécutant la même application, a accès à la même smartphone qui partage la connexion, qui est l’ALFA.

Pourquoi cela pourrait être un problème

Bien que vous partagez normalement la connexion pour permettre à une ou plusieurs personnes connues de nous de se connecter, il est juste que nous sachions qu’avec la connexion, vous donnez également la possibilité d’accéder même à des informations que nous ne voulons peut-être pas partager en tant qu’annonces par exemple notre crédit restant et toutes les informations disponibles sur le téléphone ALFA concernant notre contrat avec l’opérateur téléphonique.

Quelles données sont à risque

  • Le numéro de téléphone de celui qui partage la connexion;
  • Le plan de tarification;
  • Dépenses : total, messages, services numériques, recharges;
  • Accès aux recharges et offres, y compris les profils paypal. Possibilité de commander une recharge avec ces données, modifier des offres, commander d’autres offres, annuler les offres téléphoniques associées à la carte de ceux qui partagent la connexion comme s’il s’agissait de votre profil ;
  • Le code puk pour déverrouiller la carte;
  • Accès limité aux numéros appelés. Pour afficher les derniers chiffres, vous avez besoin d’une confirmation via le code qui arrive par sms.

Comment le réparer

Actuellement, la seule façon d’éviter que le problème ne se produise est de ne pas partager votre connexion. Bien qu’il soit vrai que vous partagez généralement votre connexion avec des personnes de confiance et entrez un mot de passe, il est également vrai qu’il ne devrait pas, à mon humble avis, être possible de voir et de modifier des offres et toute autre chose via une application qui s’authentifise avec l’adresse IP.

Comme je l’ai découvert cette erreur

Après des années de ne pas aller en vacances, j’ai décidé d’emmener mon partenaire sur une île italienne. Bien que le site Web de l’agence immobilière a dit qu’il ya wifi pour tous les appartements, j’ai été forcé de partager ma connexion à partir de mon téléphone mobile parce que vous avez un plan avec une quantité très limitée de gigaoctets. Nous avons tous les deux le même opérateur téléphonique et donc nous accédons à l’information relative aux promotions et au crédit par l’application officielle de cet opérateur. J’étais dans l’autre pièce quand ma fiancée m’a appelé, serrant son téléphone portable dans sa main, parce que sur son application c’était soixante euros de moins que le crédit qu’elle avait affiché la veille. De plus, elle m’a informé qu’il y avait plusieurs services actifs qu’elle n’avait jamais demandés. Nous avons ensuite appelé le numéro de support client et un opérateur très agréable nous a informés que le crédit qui était sur leurs moniteurs était différent de ce que nous avons vu dans l’application. On nous a dit que peut-être il pourrait être un dysfonctionnement temporaire, mais à la recherche mieux dans l’application installée dans le téléphone cellulaire de mon partenaire, je vois mon numéro de téléphone. À ce moment-là, j’ai informé l’opérateur de la chose et nous avons déduit que la motivation est liée au fait que, puisque l’authentification a également lieu via l’adresse IP, il devait y avoir un problème conceptuel dans l’application. Pour vérifier que le problème était bel et bien là et qu’il ne s’agissait pas d’un cas, nous avons fait plusieurs tests. Avant d’appeler le support client, ma partenaire a voulu désactiver les services non sollicités qu’elle pensait avoir été activés arbitrairement sur sa carte directement à partir de l’application. Que se serait-il passé s’il y avait eu des sanctions? Que se passerait-il s’il y avait des activations malveillantes ou accidentelles de services contraignants? En fin de compte, il nous a accueillis en s’assurant qu’il ouvrirait une affaire au service technique et qu’il nous informerait du résultat. Je suppose qu’une entreprise respectable pas trop tard pour résoudre ce problème. Mais en attendant, j’ai pensé que c’était une bonne idée de vous informer que le partage de votre connexion téléphonique peut vous causer des maux de tête.

Le but de cet article et à qui il pourrait être utile

J’ai écrit cet article pour empêcher ce qui allait m’arriver. Le but de cet article est d’empêcher une fuite involontaire d’informations confidentielles. Pour savoir si l’application de votre opérateur est soumise à ce problème, il vous suffit de la tester avec deux smartphones. Ouvrez l’application de votre opérateur dans les deux téléphones mobiles après avoir connecté le deuxième smartphone à la connexion partagée de la première et si vous verrez à partir de l’application du deuxième téléphone mobile les données de l’application présente dans le premier alors cela signifie que L’application de votre opérateur est également affectée par ce problème. Dans le cas où vous voulez « sauver » vos amis ou connaissances de situations particulièrement embarrassantes, je vous recommande de partager cet article avec eux.


Laisser un commentaire