Introducci贸n
Para escribir esta publicaci贸n, me inspir茅 en un art铆culo que ha estado colgado en Habr茅 durante mucho tiempo . Quiero disculparme con el autor de inmediato, es imposible pensar en un nombre mejor. Como todos saben, Pyaterochka anuncia activamente sus tarjetas de fidelizaci贸n. En el art铆culo anterior, nos dijeron que los estafadores activan las tarjetas de otras personas y cancelan puntos. Los piratas inform谩ticos fueron m谩s all谩 y en lugar de activar las tarjetas de otras personas, simplemente comenzaron a piratear las cuentas personales de los usuarios. 驴Qu茅? Parece a煤n m谩s f谩cil activar tarjetas, echemos un vistazo m谩s de cerca.
Un poco sobre la seguridad de las cuentas personales.
Como vemos, puedes ingresar a tu cuenta personal usando tu n煤mero de tel茅fono y contrase帽a, pero no todo es tan simple. Despu茅s de ingresar los datos, aparece una ventana para ingresar el c贸digo SMS, que se envi贸 al tel茅fono del propietario.
驴Parecer铆a c贸mo hackear esto? Es imposible iterar sobre el c贸digo, solo hay 3 intentos y el c贸digo es de cuatro d铆gitos. Inmediatamente descartamos esta opci贸n, pero los piratas inform谩ticos de alguna manera tienen 茅xito, 隆lo que significa que lo lograremos!
Aplicaci贸n Pyaterochka
Como cualquier otra tienda con programa de fidelizaci贸n, la cadena de tiendas Pyaterochka tiene su propia aplicaci贸n. Solo la aplicaci贸n no es simple, pero con sus propias cucarachas en el c贸digo. Averig眉emos qu茅 le pasa a la aplicaci贸n.
Tambi茅n puede ingresar a su cuenta personal usando un n煤mero de tel茅fono y contrase帽a, y una confirmaci贸n por SMS proviene de arriba, pero hay un punto interesante. La aplicaci贸n "recuerda" la cuenta y la pr贸xima vez que intente ingresar, en lugar del c贸digo SMS al tel茅fono, env铆a una notificaci贸n push directamente a la aplicaci贸n. Lo explicar茅 con m谩s detalle ahora. Cuando inicia sesi贸n en su cuenta por primera vez, debe ingresar el c贸digo del SMS para ingresar. Si por alguna raz贸n decide cerrar la sesi贸n y volver a iniciarla, la segunda vez y las siguientes no recibir谩 el c贸digo SMS y, en cambio, el campo del c贸digo SMS se completar谩 en la aplicaci贸n. 隆Maravilloso! Esto se hace maravillosamente, por supuesto, pero hay un gran inconveniente. Not茅 un error en la versi贸n 2.12.1 de la aplicaci贸n "Pyaterochka", posiblemente en otras versiones. 驴Cu谩l es el error y c贸mo puedo repetirlo?
A continuaci贸n puede ver dos videos, no fueron filmados por m铆, pero muestran muy claramente todos los problemas de las notificaciones push y los errores de la aplicaci贸n.
i.imgur.com/BcLnANt.mp4
i.imgur.com/LIGOkBT.mp4
El primer video muestra c贸mo el hacker ingresa la informaci贸n de inicio de sesi贸n, luego recibe un SMS en el tel茅fono e inicia sesi贸n en su cuenta. Luego sale y vuelve a aprobar la autorizaci贸n. La segunda vez, podemos ver claramente que no llega ning煤n SMS al tel茅fono y el campo de entrada se llena autom谩ticamente con una notificaci贸n de inserci贸n ".
En el segundo video, el atacante ya est谩 intentando iniciar sesi贸n en una cuenta que no le pertenece. Ingresa datos, pero no conoce el c贸digo del SMS por razones obvias. Luego, elimina la aplicaci贸n de los procesos y la vuelve a iniciar. En este punto, el error de la aplicaci贸n es claramente visible. Se abre una ventana completamente blanca, despu茅s de la cual el atacante cierra la sesi贸n de la cuenta. Luego ingresa los datos de inicio de sesi贸n nuevamente y, he aqu铆, 隆recibe una notificaci贸n autom谩tica! 驴Por qu茅 pas贸 esto? Debes preguntar a los desarrolladores de aplicaciones ...
M茅todos de soluci贸n
Personalmente, puedo aconsejar a los desarrolladores que desactiven las notificaciones push para que los atacantes no puedan piratear cuentas. Desactivar, por supuesto, por un tiempo hasta que se resuelva el problema. Yo mismo no soy bueno desarrollando aplicaciones y no puedo recomendar nada sensato, pero todav铆a no han desactivado las notificaciones push.
Efectos
Debido a un error en el c贸digo, la gente com煤n sufre, es decir, los compradores de buena fe. Puede leer cr铆ticas enojadas de que se robaron puntos a personas siguiendo el enlace: vk.com/topic-19098821_24191218 . A continuaci贸n voy a dejar un par de publicaciones, de hecho, hay muchas m谩s, pero creo que ahora no encuentro algunas.
El problema de robar puntos es muy relevante y este negocio ha estado floreciendo durante al menos un a帽o. Incluso puedes encontrar publicaciones en una camioneta .
conclusiones
No hay aplicaciones perfectas, pero este error es terrible. 隆No les insto a violar la ley y especialmente a robarle algo a alguien! La publicaci贸n fue creada con el objetivo de corregir un error y llegar a los desarrolladores de la aplicaci贸n (les envi茅 la carta hace m谩s de un mes y el resultado fue cero).
隆Todo bien y no cometas tales errores en el c贸digo! "