Wird geladen...



Sicherheitsanfälligkeit in Telefonanbieteranwendungen

Ohne zu viel zu sagen, werde ich Ihnen sofort erklären, was das Problem sein würde. Als dieser Artikel geschrieben wurde, bemerkte ich einen konzeptionellen Fehler bei der Programmierung der offiziellen Anwendung eines der wichtigsten Telefonanbieter in Italien. Ich weiß nicht, ob dies ein bekanntes Problem ist, aber der von mir gemeldete Kundensupport hat mir mitgeteilt, dass es sich nicht um ein bekanntes Problem handelt. Sie werden dies der technischen Abteilung melden und uns auf dem Laufenden halten.

Ich werde den Namen dieses Telefonanbieters in diesem Artikel nicht nennen, um Schäden und rechtliche Probleme zu vermeiden.

In der Praxis handelt es sich um eine konzeptionelle Sicherheitslücke, die einem sogenannten MAN IN THE MIDDLE-Angriff ausgesetzt ist. Diese Art von Angriff ermöglicht es einem Angreifer im Allgemeinen, sich in eine Verbindung zu schleichen, um Befehle auszuführen oder einfach Informationen zu erhalten.

In diesem speziellen Fall wird auf einen Großteil der Informationen verwiesen, die die App zur Verfügung stellt.

So funktioniert der Fehler in dieser Anwendung

Stellen wir uns zwei Smartphones vor, das erste nennen wir ALFA oder primär und das zweite BETA oder sekundär. Das primäre Smartphone teilt die Datenverbindung mit dem sekundären Smartphone im Hotspot-Modus. Da aus Gründen, die vermutlich auf Benutzerfreundlichkeit und Komfort zurückzuführen sind, die offizielle Smartphone-Anwendung des Telefonbetreibers zum Zeitpunkt des Schreibens auch den direkten Zugriff über eine IP-Adresse in Betracht zieht, die zu dem vom Betreiber zuweisbaren IP-Pool gehört In diesem Fall hat das BETA-Smartphone oder Smartphone, das eine Verbindung zur gemeinsam genutzten Verbindung herstellt, die gleiche IP-Adresse übernimmt und dieselbe Anwendung ausführt, Zugriff auf dieselben Daten wie das Smartphone, das die Verbindung gemeinsam nutzt, oder ALPHA. 

Warum dies ein Problem sein könnte

Obwohl normalerweise die Verbindung gemeinsam genutzt wird, um einem oder mehreren uns bekannten Personen die Verbindung zu ermöglichen, ist es richtig, dass wir wissen, dass wir zusammen mit der Verbindung auch die Möglichkeit bieten, auf Informationen zuzugreifen, die wir möglicherweise nicht möchten. Teilen Sie beispielsweise unser verbleibendes Guthaben und alle auf dem ALFA-Telefon verfügbaren Informationen zu unserem Vertrag mit dem Telefonanbieter mit.

Welche Daten sind gefährdet?

So lösen Sie das Problem

Derzeit besteht die einzige Möglichkeit, das Auftreten des Problems zu verhindern, darin, dass Sie Ihre Verbindung nicht freigeben. Obwohl es in der Regel so ist, dass Sie Ihre Verbindung mit vertrauenswürdigen Personen teilen und ein Passwort eingeben, ist es auch so, dass es meiner bescheidenen Meinung nach nicht möglich sein sollte, die Angebote usw. über eine von Ihnen bereitgestellte App anzuzeigen und zu ändern Authentisch mit der IP-Adresse.

Wie ich diesen Fehler entdeckteich

Nachdemjahrelang nicht in Urlaub war, entschloss ich mich, meinen Partner auf eine italienische Insel zu bringen. Auch wenn auf der Website der Immobilienagentur geschrieben stand, dass es für alle Wohnungen eine WLAN-Internetverbindung gibt, musste ich meine Verbindung von meinem Handy aus freigeben, da Sie einen Plan mit einer sehr begrenzten Menge an Gigabyte haben. Wir haben beide denselben Telefonanbieter und greifen daher über die offizielle Anwendung dieses Anbieters auf Informationen zu Werbeaktionen und Gutschriften zu. Ich war im anderen Zimmer, als meine Freundin mich anrief und ihr Handy in der Hand hielt, weil es auf ihrem Antrag sechzig Euro weniger war als das Guthaben, das sie am Vortag gesehen hatte. Außerdem teilte sie mir mit, dass es mehrere aktive Dienste gab, die sie nie angefordert hatte. Wir riefen dann die Kundenservicenummer an und ein sehr freundlicher Mitarbeiter teilte uns mit, dass das Guthaben auf den Monitoren nicht mit dem in der Anwendung angezeigten Guthaben übereinstimmt. Uns wurde gesagt, dass es sich möglicherweise um eine vorübergehende Fehlfunktion handeln könnte, aber wenn ich mir die auf dem Telefon meines Partners installierte Anwendung genauer ansehe, sehe ich meine Telefonnummer. An diesem Punkt informierte ich den Betreiber über die Sache und wir folgerten, dass die Motivation in der Tatsache begründet ist, dass es, da die Authentifizierung auch über die IP-Adresse erfolgt, ein konzeptionelles Problem in der Anwendung geben musste. Um zu überprüfen, ob das Problem tatsächlich aufgetreten ist und nicht, haben wir mehrere Tests durchgeführt. Bevor mein Partner den Kundensupport anrief, wollte er die unerwünschten Dienste, die er für willkürlich auf seiner Karte aktiviert hielt, direkt aus der Anwendung deaktivieren. Was wäre passiert, wenn es Strafen gegeben hätte? Was würde passieren, wenn Bindungsdienste böswillig oder versehentlich aktiviert würden? Am Ende begrüßte er uns mit der Zusicherung, dass er einen Fall für die technische Abteilung öffnen und uns über das Ergebnis informieren werde. Ich stelle mir vor, dass ein seriöses Unternehmen nicht lange brauchen wird, um dieses Problem zu lösen. In der Zwischenzeit hielt ich es jedoch für eine gute Idee, Sie darüber zu informieren, dass das Teilen der Verbindung mit Ihrem Handy zu Kopfschmerzen führen kann.

Der Zweck dieses Artikels und für wen es nützlich sein könnte

Ich habe diesen Artikel geschrieben, um zu verhindern, dass das, was mir passiert ist, anderen passiert. Mit diesem Artikel soll vermieden werden, dass vertrauliche Informationen unbeabsichtigt entweichen. Um zu wissen, ob die Anwendung Ihres Betreibers von diesem Problem betroffen ist, ist es ausreichend, dass Sie den Test mit zwei Smartphones durchführen. Öffnen Sie die Anwendung Ihres Betreibers auf beiden Mobiltelefonen, nachdem Sie das zweite Smartphone mit der gemeinsam genutzten Verbindung des ersten verbunden haben. Wenn Sie die Anwendungsdaten der zweiten mobilen Anwendung in der ersten sehen, bedeutet dies auch, dass die Anwendung Ihres Betreibers ist von diesem Problem betroffen. Für den Fall, dass Sie Ihre Freunde oder Bekannten aus besonders peinlichen Situationen "retten" möchten, empfehle ich Ihnen, diesen Artikel mit ihnen zu teilen.


it | en | zh | es | ar | pt | id | ms | fr | ja | ru | de

// 2019-09-23 - 2019-09-23 // @ignistech #technologie #informatik #computersicherheit #anwendungen #smartphone

044.EU | Home | Bedingungen | Privacy | Missbrauch | Hashtag