Carregando...



Vulnerabilidade de aplicativo da operadora de telefonia

Sem dizer muito, explicarei imediatamente qual seria o problema. No momento em que este artigo foi escrito, notei um erro conceitual na programação do aplicativo oficial de uma das principais operadoras de telefonia da Itália. Não sei se esse é um problema conhecido, mas o suporte ao cliente que eu notifiquei assim que o notei me disse que não era algo conhecido. Eles reportarão isso ao departamento técnico e nos manterão informados.

Não vou citar o nome desta operadora de telefonia neste artigo para evitar danificá-la e causar problemas legais.

Na prática, é uma vulnerabilidade conceitual que se expõe ao chamado ataque HOMEM NO MEIO. Esse tipo de ataque geralmente permite que um invasor se infiltre em uma conexão com a finalidade de executar comandos ou simplesmente adquirir informações.

Nesse caso específico, é feita referência a grande parte das informações que o aplicativo disponibiliza.

Como o bug deste aplicativo funciona

Vamos imaginar dois telefones celulares com smartphones, o primeiro chamaremos de ALFA ou primário e o segundo chamaremos de BETA ou secundário. O smartphone principal compartilha a conexão de dados com o smartphone secundário no modo de ponto ativo. Como, por razões presumivelmente atribuíveis à facilidade de uso e conforto, o aplicativo oficial para smartphone da operadora de telefonia, no momento da redação deste artigo, também contempla o acesso direto via endereço IP pertencente ao conjunto de IPs atribuíveis pela operadora. em questão (portanto, sem inserir credenciais), o smartphone BETA ou o smartphone que se conecta à conexão compartilhada, herdando o mesmo endereço IP, executando o mesmo aplicativo, tem acesso aos mesmos dados que o smartphone que compartilha a conexão ou ALPHA. 

Por que isso pode ser um problema

Embora normalmente a conexão seja compartilhada para permitir que uma ou mais pessoas conhecidas por nós se conectem, é certo que sabemos que, juntamente com a conexão, também estamos dando a possibilidade de acessar também informações que talvez não desejemos. compartilhar, como nosso crédito restante e todas as informações disponíveis no telefone ALFA sobre nosso contrato com a operadora de telefonia.

Quais dados estão em risco

Como resolver o problema

Atualmente, a única maneira de impedir que o problema ocorra é precisamente a falta de compartilhamento de sua conexão. Embora seja verdade que geralmente você compartilha sua conexão com pessoas confiáveis ​​e digita uma senha, também é verdade que, na minha humilde opinião, não será possível visualizar e modificar as ofertas e assim por diante através de um aplicativo que você autêntico com o endereço IP.

Como descobri esse erro

Depois de anos sem sair de férias, decidi levar meu parceiro para uma ilha italiana. Mesmo que no site da agência imobiliária tenha sido escrito que há conexão Wi-Fi à Internet em todos os apartamentos, fui forçado a compartilhar minha conexão do meu celular porque você tem um plano com uma quantidade muito limitada de gigabytes. Nós dois temos a mesma operadora de telefonia e, portanto, acessamos informações relacionadas a promoções e crédito através do pedido oficial dessa operadora. Eu estava no outro quarto quando minha namorada me ligou, segurando o telefone na mão, porque, no pedido dela, eram sessenta euros a menos do que o crédito que ela vira no dia anterior. Além disso, ela me informou que havia vários serviços ativos que ela nunca havia solicitado. Em seguida, ligamos para o número de suporte ao cliente e um operador muito amigável nos informou que o crédito que aparecia em seus monitores era diferente daquele que estávamos vendo no aplicativo. Disseram-nos que talvez pudesse ser um mau funcionamento temporário, mas, olhando mais de perto o aplicativo instalado no telefone do meu parceiro, vejo o meu número de telefone. Nesse ponto, informei o operador sobre a coisa e deduzimos que a motivação é relativa ao fato de que, como a autenticação também ocorre via endereço IP, deveria haver um problema conceitual no aplicativo. Para verificar se o problema estava realmente presente e se não era um caso, fizemos vários testes. Antes de ligar para o suporte ao cliente, meu parceiro queria desativar os serviços não solicitados que, segundo ela, foram ativados arbitrariamente em seu cartão diretamente do aplicativo. O que teria acontecido se houvesse penalidades? O que aconteceria se houvesse ativações maliciosas ou acidentais de serviços de ligação? No final, ele nos cumprimentou, assegurando que abriria um caso para o departamento técnico e que nos informaria do resultado. Imagino que uma empresa respeitável não demore muito para resolver esse problema. Entretanto, achei uma boa ideia informar que compartilhar a conexão com o seu celular pode causar dores de cabeça.

O objetivo deste artigo e a quem poderia ser útil

Eu escrevi este artigo para impedir que o que aconteceu comigo acontecesse com outras pessoas. O objetivo deste artigo é evitar que haja uma fuga não intencional de informações confidenciais. Para saber se a aplicação da sua operadora está sujeita a esse problema, basta fazer o teste com dois smartphones. Abra o aplicativo da sua operadora nos dois telefones celulares após conectar o segundo smartphone à conexão compartilhada do primeiro e, se você vir os dados do segundo aplicativo móvel no primeiro, isso significa que também o aplicativo da sua operadora é afetado por esse problema. Caso você queira "salvar" seus amigos ou conhecidos de situações particularmente embaraçosas, recomendo que você compartilhe este artigo com eles.


it | en | zh | es | ar | pt | id | ms | fr | ja | ru | de

// 2019-09-23 - 2019-09-23 // @ignistech #tecnologia #cienciadacomputacao #segurancainformatica #aplicacoes #smartphone

044.EU | Home | Termos | Privacy | Abuso | Hashtag