Einführung
Ich wurde inspiriert, diesen Beitrag durch einen Artikel zu schreiben , der seit langer Zeit an Habré hängt . Ich möchte mich sofort beim Autor entschuldigen, es gibt keinen besseren Namen. Wie Sie alle wissen, wirbt Pyaterochka aktiv für seine Kundenkarten. Im obigen Artikel wurde uns gesagt, dass Betrüger die Karten anderer Leute aktivieren und Punkte abschreiben. Die Hacker gingen noch weiter und anstatt die Karten anderer Leute zu aktivieren, begannen sie einfach, die persönlichen Konten der Benutzer zu hacken. Und was? Es klingt noch einfacher, Karten zu aktivieren. Schauen wir uns das genauer an.
Ein wenig über die Sicherheit persönlicher Konten
Wie wir sehen können, können Sie Ihr persönliches Konto mit Ihrer Telefonnummer und Ihrem Passwort eingeben, aber nicht alles ist so einfach. Nach Eingabe der Daten wird ein Fenster zur Eingabe des SMS-Codes angezeigt, der an das Telefon des Besitzers gesendet wurde.
Es scheint, wie man das hackt? Es ist unmöglich, den Code zu durchlaufen, es gibt nur drei Versuche und der Code ist vierstellig. Wir verwerfen diese Option sofort, aber die Hacker haben irgendwie Erfolg, was bedeutet, dass wir Erfolg haben werden!
Pyaterochka-Anwendung
Wie jedes andere Geschäft mit einem Treueprogramm hat auch die Filialkette Pyaterochka eine eigene Anwendung. Nur die Anwendung ist nicht einfach, sondern mit eigenen Kakerlaken im Code. Lassen Sie uns herausfinden, was mit der App nicht stimmt.
Sie können Ihr persönliches Konto auch mit einer Telefonnummer und einem Passwort eingeben. Eine SMS-Bestätigung kommt von oben, aber es gibt einen interessanten Punkt. Die Anwendung "merkt" sich das Konto und sendet beim nächsten Versuch, anstelle des SMS-Codes an das Telefon eine Push-Benachrichtigung direkt an die Anwendung zu senden. Ich werde es jetzt genauer erklären. Wenn Sie sich zum ersten Mal in Ihrem Konto anmelden, müssen Sie den Code aus der SMS eingeben, um ihn einzugeben. Wenn Sie sich aus irgendeinem Grund abmelden und erneut anmelden, erhalten Sie beim zweiten und nachfolgenden Mal keinen SMS-Code. Stattdessen wird das Feld SMS-Code in der Anwendung ausgefüllt. Wunderbar! Das ist natürlich wunderschön gemacht, aber es gibt einen großen Nachteil. Ich habe einen Fehler in der "Pyaterochka" -Anwendung von Version 2.12.1 festgestellt, möglicherweise in anderen Versionen. Was ist der Fehler und wie kann ich ihn wiederholen?
Unten sehen Sie zwei Videos, die nicht von mir aufgenommen wurden, aber sehr deutlich alle Probleme von Push-Benachrichtigungen und den Anwendungsfehler zeigen.
i.imgur.com/BcLnANt.mp4
i.imgur.com/LIGOkBT.mp4
Das erste Video zeigt, wie der Hacker die Anmeldeinformationen eingibt, dann eine SMS am Telefon empfängt und sich bei seinem Konto anmeldet. Dann wird es beendet und die Autorisierung erneut übergeben. Beim zweiten Mal können wir deutlich sehen, dass keine SMS zum Telefon kommt und das Eingabefeld automatisch mit einer Push-Benachrichtigung gefüllt wird. "
Im zweiten Video versucht der Angreifer bereits, sich bei einem Konto anzumelden, das ihm nicht gehört. Er gibt Daten ein, kennt den Code aus offensichtlichen Gründen jedoch nicht aus der SMS. Dann entfernt er die Anwendung aus den Prozessen und startet sie erneut. Zu diesem Zeitpunkt ist der Anwendungsfehler deutlich sichtbar. Ein vollständig weißes Fenster wird geöffnet, nach dem sich der Angreifer vom Konto abmeldet. Dann gibt er die Anmeldedaten erneut ein und siehe da, er erhält eine Push-Benachrichtigung! Warum ist das passiert? Sie müssen die Anwendungsentwickler fragen ...
Lösungsmethoden
Persönlich kann ich Entwicklern raten, Push-Benachrichtigungen zu deaktivieren, damit Angreifer keine Konten hacken können. Deaktivieren Sie natürlich für eine Weile, bis das Problem behoben ist. Ich selbst bin nicht gut darin, Anwendungen zu entwickeln, und ich kann nichts Sinnvolles empfehlen, aber sie haben Push-Benachrichtigungen immer noch nicht deaktiviert.
Auswirkungen
Aufgrund eines Fehlers im Code leiden normale Menschen, nämlich gutgläubige Käufer. Sie können verärgerte Bewertungen lesen , dass Personen Punkte gestohlen haben, indem Sie dem Link folgen : vk.com/topic-19098821_24191218 . Im Folgenden werde ich ein paar Beiträge hinterlassen, tatsächlich gibt es noch viele weitere, aber ich denke, jetzt kann ich keine finden.
Das Problem des Diebstahls von Punkten ist sehr relevant und dieses Geschäft floriert seit mindestens einem Jahr. Sie können sogar Beiträge auf einer Abholung finden .
Schlussfolgerungen
Es gibt keine perfekten Anwendungen, aber dieser Fehler ist schrecklich. Ich fordere Sie nicht auf, das Gesetz zu brechen und vor allem jemandem etwas zu stehlen! Der Beitrag wurde mit dem Ziel erstellt, einen Fehler zu beheben und die Entwickler der Anwendung zu erreichen (ich habe den Brief vor mehr als einem Monat an sie gesendet und das Ergebnis war Null).
Alles gut und mache keine solchen Fehler im Code! "