Chargement...



Vulnérabilité des applications de opérateur téléphonique

Sans trop en dire, je vous expliquerai immédiatement quel serait le problème. Au moment de la rédaction de cet article, j'ai remarqué un bug conceptuel dans la programmation de l'application officielle de l'un des principaux opérateurs téléphoniques d'Italie. Je ne sais pas s'il s'agit d'un problème connu, mais le service clientèle que j'ai informé dès que j'ai remarqué qu'il m'avait dit que ce n'était pas connu. Ils en informeront le service technique et nous en informeront.

Je ne nommerai pas le nom de cet opérateur téléphonique dans cet article pour éviter de l'endommager et de causer des problèmes juridiques.

En pratique, il s'agit d'une vulnérabilité conceptuelle exposée à une attaque dite de type MAN IN THE MIDDLE. Ce type d’attaque permet généralement à un attaquant de se faufiler dans une connexion dans le but d’exécuter des commandes ou tout simplement d’acquérir des informations.

Dans ce cas spécifique, il est fait référence à une grande partie des informations mises à disposition par l'application.

Comment fonctionne le bogue de cette application

Imaginons deux téléphones mobiles sur smartphone, le premier que nous appellerons ALFA ou principal et le second que nous appellerons BETA ou secondaire. Le smartphone principal partage la connexion de données avec le smartphone secondaire en mode hotspot. Étant donné que, pour des raisons probablement attribuables à la facilité d'utilisation et au confort, l'application smartphone officielle de l'opérateur téléphonique, au moment de l'écriture, envisage également un accès direct via une adresse IP appartenant au groupe d'adresses IP attribuables à l'opérateur en question (donc sans entrer les identifiants), le smartphone BETA ou le smartphone qui se connecte à la connexion partagée, héritant de la même adresse IP, exécutant la même application, a accès aux mêmes données que le smartphone qui partage la connexion, ou ALPHA. 

Pourquoi cela pourrait être un problème

Bien que normalement la connexion soit partagée pour permettre à une ou plusieurs personnes connues de nous de se connecter, il est normal que nous sachions qu'avec la connexion, nous donnons également la possibilité d'accéder également à des informations que nous ne souhaitons peut-être pas. partager, comme le solde de notre crédit et toutes les informations disponibles sur le téléphone ALFA concernant notre contrat avec l’opérateur téléphonique.

Quelles données sont à risque?

Comment résoudre le problème

Actuellement, le seul moyen d'éviter le problème est précisément de ne pas partager votre connexion. Même s’il est vrai que vous partagez généralement votre connexion avec des personnes de confiance et que vous entrez un mot de passe, il est également vrai qu’il ne devrait pas, à mon humble avis, être possible de visualiser et de modifier les offres, etc., par le biais d’une application authentique avec l'adresse ip.

Comment j'ai découvert cette erreur

Après des années passées en vacances, j'ai décidé d'emmener mon partenaire sur une île italienne. Même si sur le site de l'agence immobilière il était écrit qu'il y avait une connexion internet wifi pour tous les appartements, j'ai été obligé de partager ma connexion depuis mon mobile car vous avez un forfait de gigaoctets très limité. Nous avons tous les deux le même opérateur téléphonique et, par conséquent, nous avons accès aux informations relatives aux promotions et aux crédits via l'application officielle de cet opérateur. J'étais dans la pièce voisine lorsque ma petite amie m'a appelée, tenant son téléphone à la main, car lors de sa demande, c'était soixante euros de moins que le crédit qu'elle avait vu la veille. De plus, elle m'a informé qu'il y avait plusieurs services actifs qu'elle n'avait jamais demandés. Nous avons ensuite appelé le numéro du service clientèle et un opérateur très sympathique nous a informés que le crédit affiché sur leurs moniteurs était différent de celui affiché dans l'application. On nous a dit qu'il pourrait s'agir d'un dysfonctionnement temporaire, mais en regardant de plus près l'application installée sur le téléphone de mon partenaire, je vois mon numéro de téléphone. À ce moment-là, j'ai informé l'opérateur de la chose et nous en avons déduit que la motivation était liée au fait que, l'authentification se faisant également via une adresse IP, il devait y avoir un problème conceptuel dans l'application. Pour vérifier que le problème existait réellement et qu'il ne s'agissait pas d'un cas, nous avons effectué plusieurs tests. Avant d'appeler l'assistance clientèle, mon partenaire souhaitait désactiver les services non sollicités qu'elle pensait être activés de manière arbitraire sur sa carte directement à partir de l'application. Que se serait-il passé s'il y avait eu des pénalités? Que se passerait-il s'il y avait des activations malveillantes ou accidentelles de services de liaison? En fin de compte, il nous a accueillis en nous assurant qu'il ouvrirait un dossier au service technique et qu'il nous informerait du résultat. J'imagine qu'une entreprise respectable ne sera pas longue pour résoudre ce problème. Mais dans l’intervalle, j’ai pensé que c’était une bonne idée de vous informer que le partage de la connexion avec votre mobile peut vous causer des maux de tête.

Le but de cet article et à qui il pourrait être utile,

j’ai écrit cet article pour éviter que ce qui m’était arrivé ne se reproduise. Le but de cet article est d’éviter toute fuite involontaire d’informations confidentielles. Pour savoir si l'application de votre opérateur est sujette à ce problème, il suffit que vous fassiez le test avec deux smartphones. Ouvrez l’application de votre opérateur dans les deux téléphones mobiles après avoir connecté le deuxième smartphone à la connexion partagée du premier et si vous voyez les données d’application de la deuxième application mobile dans la première, cela signifie également que l’application de votre opérateur est concerné par ce problème. Au cas où vous voudriez "sauver" vos amis ou connaissances de situations particulièrement embarrassantes, je vous recommande de partager cet article avec eux.


it | en | zh | es | ar | pt | id | ms | fr | ja | ru | de

// 2019-09-23 - 2019-09-23 // @ignistech #latechnologie #informatique #securiteinformatique #applications #smartphone

044.EU | Home | Conditions | Privacy | Abus | Hashtag