Cargando...



Vulnerabilidad de la aplicación del operador telefónico

Sin decir demasiado, te explicaré de inmediato cuál sería el problema. En el momento en que se escribe este artículo, noté un error conceptual en la programación de la aplicación oficial de uno de los principales operadores telefónicos en Italia. No sé si se trata de un problema conocido, pero el servicio de atención al cliente que he notificado tan pronto como me di cuenta me dijo que no era algo conocido. Informarán de esto al departamento técnico y nos mantendrán informados.

No mencionaré el nombre de este operador telefónico en este artículo para evitar dañarlo e incurrir en problemas legales.

En la práctica, es una vulnerabilidad conceptual que se expone a un ataque llamado MAN IN THE MIDDLE. Este tipo de ataque generalmente permite a un atacante infiltrarse en una conexión con el fin de ejecutar comandos o simplemente adquirir información.

En este caso específico, se hace referencia a una gran parte de la información que la aplicación pone a disposición.

Cómo funciona el error de esta aplicación

Imaginemos dos teléfonos móviles con teléfonos inteligentes, el primero lo llamaremos ALFA o primario y el segundo lo llamaremos BETA o secundario. El teléfono inteligente principal comparte la conexión de datos con el teléfono inteligente secundario en modo de punto de acceso. Dado que, por razones presumiblemente atribuibles a la facilidad de uso y comodidad, la aplicación oficial de teléfono inteligente del operador telefónico, en el momento de la redacción, también contempla el acceso directo a través de la dirección IP perteneciente al grupo de IP asignables por el operador en cuestión (por lo tanto, sin ingresar credenciales), el teléfono inteligente BETA o el teléfono inteligente que se conecta a la conexión compartida, heredando la misma dirección IP, ejecutando la misma aplicación, tiene acceso a los mismos datos que el teléfono inteligente que comparte la conexión, o ALPHA. 

Por qué esto podría ser un problema

Aunque normalmente la conexión se comparte para permitir que una o más personas que conocemos se conecten, es correcto que sepamos que junto con la conexión, también estamos brindando la posibilidad de acceder también a información que quizás no deseemos. compartir, como nuestro crédito restante y toda la información que está disponible en el teléfono ALFA con respecto a nuestro contrato con el operador telefónico.

Qué datos están en riesgo

Cómo resolver el problema

Actualmente, la única forma de evitar que ocurra el problema es precisamente no compartir su conexión. Aunque es cierto que generalmente comparte su conexión con personas de confianza e ingresa una contraseña, también es cierto que, en mi humilde opinión, no debería ser posible ver y modificar las ofertas, etc. a través de una aplicación que usted auténtico con la dirección ip

Cómo descubrí este error

Después de años de no irme de vacaciones, decidí llevar a mi pareja a una isla italiana. Incluso si en el sitio web de la agencia de bienes raíces se escribió que hay conexión a internet wifi para todos los apartamentos, me vi obligado a compartir mi conexión desde mi teléfono celular porque tienes un plan con una cantidad muy limitada de gigabytes. Ambos tenemos el mismo operador telefónico y, por lo tanto, accedemos a información relacionada con promociones y créditos a través de la aplicación oficial de este operador. Estaba en la otra habitación cuando mi novia me llamó, sosteniendo su teléfono en la mano, porque en su solicitud era sesenta euros menos que el crédito que había visto el día anterior. Además, ella me informó que había varios servicios activos que nunca había solicitado. Luego llamamos al número de atención al cliente y un operador muy amable nos informó que el crédito que apareció en sus monitores era diferente del que estábamos viendo en la aplicación. Nos dijeron que tal vez podría ser un mal funcionamiento temporal, pero al mirar más de cerca la aplicación instalada en el teléfono de mi compañero, veo mi número de teléfono. En ese momento informé al operador de la cosa y dedujimos que la motivación es relativa al hecho de que, dado que la autenticación también se realiza a través de la dirección IP, tenía que haber un problema conceptual en la aplicación. Para verificar que el problema estaba realmente allí y que no era un caso, hicimos varias pruebas. Antes de llamar al servicio de atención al cliente, mi socio quería desactivar los servicios no solicitados que creía que se activaban arbitrariamente en su tarjeta directamente desde la aplicación. ¿Qué hubiera pasado si hubiera habido sanciones? ¿Qué pasaría si hubiera activaciones maliciosas o accidentales de los servicios vinculantes? Al final, nos saludó asegurándonos que abriría un caso al departamento técnico y nos informaría el resultado. Me imagino que una empresa respetable no tardará en resolver este problema. Pero mientras tanto, pensé que era una buena idea informarle que compartir la conexión con su teléfono móvil puede causarle dolores de cabeza.

El propósito de este artículo y para quién podría ser útil

He escrito este artículo para evitar que lo que me sucedió le pase a otros. El propósito de este artículo es evitar que haya un escape involuntario de información confidencial. Para saber si la aplicación de su operador está sujeta a este problema, es suficiente que realice la prueba con dos teléfonos inteligentes. Abra la aplicación de su operador en ambos teléfonos móviles después de conectar el segundo teléfono inteligente a la conexión compartida del primero y si ve los datos de la aplicación de la segunda aplicación móvil en el primero, significa que también la aplicación de su operador se ve afectado por este problema. En caso de que quiera "salvar" a sus amigos o conocidos de situaciones particularmente embarazosas, le recomiendo que comparta este artículo con ellos.


it | en | zh | es | ar | pt | id | ms | fr | ja | ru | de

// 2019-09-23 - 2019-09-23 // @ignistech #latecnologia #cienciasdelacomputacion #seguridadinformatica #aplicaciones #smartphone

044.EU | Home | Condiciones | Privacy | Abuso | Hashtag