Nie robiąc zbyt wiele zwrotów słów powiem ci od razu, co problem będzie. W chwili pisania tego artykułu zauważyłem koncepcyjny błąd programistyczny oficjalnego zastosowania jednego z największych operatorów telefonicznych we Włoszech. Nie wiem, czy jest to znany problem, ale wsparcie klienta, że ostrzegł, jak tylko zauważyłem powiedział mi, że to nie jest znana rzecz. Oni ‘ zamierzać narrator ten techniczny Wydział i utrzymywać nam zawiadomiony.
Nie będę nazywać tego operatora telefonicznego w tym artykule, aby uniknąć jego uszkodzenia i ponoszenia wyzwań prawnych.
W praktyce jest to konceptualna Luka, która naraża Cię na tzw MAN IN THE MIDDLE ataku. Taki atak zazwyczaj pozwala osobie atakującej wkraść się w środek połączenia w celu wykonania poleceń lub po prostu pozyskać informacje.
W tym konkretnym przypadku jest określana duża część informacji, które zapewnia aplikacja.
Jak działa błąd tej aplikacji
Wyobraź sobie dwa telefony komórkowe smartphone, pierwszy będziemy nazywać go ALFA lub podstawowym, a drugi będziemy nazywać go BETA lub wtórne. Główny smartfon udostępnia połączenie danych z dodatkowym smartfonem w trybie hotspot. Ponieważ, z powodów rzekomo ze względu na łatwość obsługi i wygody, oficjalny smartphone aplikacji operatora telefonicznego, w momencie pisania, również kontempluje bezpośredni dostęp poprzez adres IP należący do puli IP możliwa do przypisania przez danego operatora (bez podania poświadczeń), smartfon w wersji BETA, czyli smartfon, który przechwytuje połączenie udostępnione, dziedzicząc ten sam adres IP, uruchamiając tę samą aplikację, ma dostęp do tego samego smartfon, który podziela połączenie, czyli ALFA.
Dlaczego może to być problem
Chociaż normalnie udostępnić połączenie, aby umożliwić jedną lub więcej osób znanych nam, aby połączyć, to tylko prawo, że powinniśmy wiedzieć, że wraz z połączeniem, jesteś również daje możliwość dostępu do nawet informacji, które nie mogą być udostępniane jako reklama na przykład nasz pozostały kredyt i wszystkie informacje, które są dostępne na telefon ALFA dotyczące naszej umowy z operatorem telefonicznym.
Jakie dane są zagrożone
- Numer telefonu, który jest udostępnianie połączenia;
- Plan cenowy;
- Wydatki: suma, wiadomości, usługi cyfrowe, wkłady;
- Dostęp do wkładów i ofert, w tym wszelkich profili PayPal. Możliwość zamówienia uzupełnienia z tych danych, edytować oferty, zamówić inne oferty, anulować oferty telefoniczne związane z kartą tych, którzy dzielą połączenie, jakby to był Twój profil;
- Kod PUK do odblokowania karty;
- Ograniczony dostęp do numerów o nazwie. Aby wyświetlić ostatnie cyfry, potrzebujesz potwierdzenia poprzez kod, który przybywa przez SMS.
Jak to naprawić?
Obecnie jedynym sposobem, aby zapobiec występowaniu problemu jest nie udostępniać połączenia. Chociaż prawdą jest, że zazwyczaj podzielają połączenie z zaufanymi ludźmi i wprowadzić hasło, to również prawda, że nie powinno, moim skromnym zdaniem, być możliwe, aby przeglądać i edytować oferty i cokolwiek innego za pośrednictwem aplikacji uwierzytelnia się przy użyciu adresu IP.
Jak odkryłem ten błąd
Po latach nie dzieje się na wakacjach, postanowiłem wziąć mój partner na włoskiej wyspie. Chociaż na stronie internetowej agencji nieruchomości powiedział, że jest WiFi dla wszystkich mieszkań, byłem zmuszony do dzielenia się moim połączeniem z mojego telefonu komórkowego, ponieważ masz plan z bardzo ograniczoną ilością gigabajtów. Obaj mamy tego samego operatora telefonicznego i dlatego mamy dostęp do informacji związanych z promocjami i kredytem poprzez oficjalne zastosowanie tego operatora. Byłem w innym pomieszczeniu, kiedy Moja narzeczona zadzwoniła do mnie, trzymając jej telefon komórkowy w ręku, bo na jej wniosek był 60 euro mniej niż kredyt miała wyświetlane dzień wcześniej. Ponadto, poinformowała mnie, że istnieje kilka aktywnych usług, że nigdy nie zażądał. Następnie zadzwonił numer obsługi klienta i bardzo miły operator poinformował nas, że kredyt, który był na ich monitory różni się od tego, co widzieliśmy w aplikacji. Powiedziano nam, że może to być tymczasowe usterki, ale patrząc lepiej w aplikacji zainstalowanej w telefonie komórkowym mojego partnera, widzę mój numer telefonu. W tym momencie poinformowałem operatora rzeczy i wywnioskowaliśmy, że motywacja jest związana z faktem, że, ponieważ uwierzytelnianie odbywa się również za pośrednictwem adresu IP, nie musiał być koncepcyjny problem w aplikacji. Aby sprawdzić, czy problem był rzeczywiście tam i że nie było przypadek, zrobiliśmy kilka testów. Przed wywołaniem obsługi klienta, mój partner chciał wyłączyć niechciane usługi, które myślała, że został arbitralnie aktywowany na jej karcie bezpośrednio z aplikacji. Co by się stało, gdyby nie było kary? Co by się stało, gdyby doszło do złośliwych lub przypadkowych aktywacji usług wiążących? W końcu powitał nas upewniając się, że otworzy sprawę do działu technicznego i że poinformuje nas o wyniku. Myślę, że poważna firma nie jest zbyt późno, aby rozwiązać ten problem. Ale w międzyczasie, myślałem, że to dobry pomysł, aby poinformować, że udostępnianie połączenia telefonicznego może powodować bóle głowy.
Cel tego artykułu i komu może być przydatny
Napisałem ten artykuł, aby zapobiec, co się stało ze mną. Celem tego artykułu jest zapobieganie nieumyślnemu wyciekaniu poufnych informacji. Aby wiedzieć, czy aplikacja przewoźnika jest przedmiotem tego problemu, wystarczy przetestować go z dwóch smartfonów. Otwórz aplikację przewoźnika w obu telefonach komórkowych po podłączeniu drugiego smartfona do wspólnego połączenia pierwszego i Jeśli zobaczysz z aplikacji drugiego telefonu komórkowego dane aplikacji obecne w pierwszym wtedy oznacza to, że Ten problem dotyczy również aplikacji operatora. W przypadku, gdy chcesz “uratować” swoich przyjaciół lub znajomych z szczególnie kłopotliwych sytuacjach polecam udostępnić ten artykuł z nimi.
