المطور ، تذكر - تتم مراقبة حركة مرور التطبيق الخاص بك

في الوقت الحالي ، هناك العديد من أنواع الثغرات الأمنية التي ينسى المطورون تمامًا وجودها. في اليوم الآخر ، تمكنت من تجاوز التفويض في تطبيق WOG الجديد (TOV "VOG RETAIL" - ثاني أكبر شبكة محطة وقود في أوكرانيا). في عام 2017 ، وجدت بالضبط نفس الثغرة الأمنية في تطبيق أحد مزودي خدمات الهواتف المحمولة في أوكرانيا (أيضًا ثاني أكبر). حالات متطابقة - تطبيق جديد وانعدام الحماية ضد القوة الغاشمة.

منذ وقت ليس ببعيد تلقيت إشعارًا - أصدرت الشركة تطبيقًا جديدًا وعرضت تثبيته. أحببت بصراحة وظيفة التطبيق - عرض المكافآت في الحساب الذي يمكنك شراء الوقود منه. القدرة على إرفاق بطاقة مصرفية ودفع ثمن البضائع دون تلامس أو عن طريق رمز الاستجابة السريعة. يعرض ملف التعريف أيضًا اسمي وتفاصيل الاتصال وسجل كامل للمعاملات - قائمة بالسلع وقيمتها في وقت الشراء.

أصبح التفويض في التطبيق أسهل - الآن لا تحتاج إلى إدخال رقم بطاقة الولاء ، فقط حدد رقم الهاتف المحمول. ومع ذلك ، حتى عند المدخل ، كنت أظن أنه يمكن لأي شخص الاطلاع على بياناتي - لقد قمت ، أكثر من 5 مرات ، بإدخال رمز مختلف عن ما تلقيته في الرسائل القصيرة. لماذا؟ - لأنه في وقت سابق ، في تطبيق مماثل لمشغل الهاتف المحمول ، وجدت ثغرة أمنية توفر الوصول الكامل إلى إدارة حساب المشترك.

عند إدخال الرمز غير الصحيح ، كان من الممكن معرفة أن الحماية ضد القوة الغاشمة على الأرجح لا.

كنت على حق - التطبيق لا يوجد لديه الحماية. يمكنك الوصول إلى أي حساب ، علاوة على ذلك ، "اختطاف" حسابك - رابط إلى رقم آخر ، وإنفاق أموال الآخرين.

لدي انطباع بأن مطوري التطبيقات ينسون تمامًا أن حركة مرور الشبكة لا يصعب اعتراضها ، حتى طلبات https.

أنا شخصياً أستخدم برنامج الكمان - هذه الأداة تجعل من الممكن نقل بيانات الوكيل أو مشاهدته أو تغييره. للوصول إلى محتوى طلبات https ، بالإضافة إلى إعدادات الخادم الوكيل ، في خصائص اتصال الهاتف الذكي ، يجب عليك بالإضافة إلى ذلك تثبيت الشهادة الموثوقة التي ينشئها البرنامج.

بادئ ذي بدء ، لقد سررت بتقدير مطوري التطبيق للذات - حيث توجد واجهة برمجة التطبيقات التي تستخدم التطبيق على نطاق .bog.ua .bestapp4ever. فقط من خلال الاطلاع على عناوين URL ، تمكنت من معرفة أن IIS 7.5 و 1 C: Enterprise 8 مباشر على الخادم ، وكذلك صورة من الرأس (ربما كتب مشجعو Machinarium واجهة برمجة التطبيقات؟).

نظام التخويل بسيط - طلب مع "طلب" لإرسال رمز إلى SMS ينتقل إلى إحدى طرق API. وهنا الضعف الأول هو عدم وجود أي حدود. على نفس رقم الهاتف ، من IP واحد يمكنك "طلب" أكبر عدد تريده من الرسائل القصيرة.

في وقت لاحق ، في عطاءات الشركة ، وجدت معلومات أنهم يخططون لإرسال ما يصل إلى 1،000،000 رسالة نصية قصيرة شهريًا (على استعداد لإنفاق حوالي 98000 دولار على هذا لمدة عام). اتضح أن مشكلة عدم الحصانة يمكن أن تتسبب في خسائر الشركة بمبلغ ~ 200 دولار في اليوم إذا تم إرسال 12 طلبًا في الثانية.

تجدر الإشارة إلى أنه حتى يتمكن الخادم من معالجة الطلبات بشكل صحيح ، يلزم الحصول على إذن أساسي - وهذا أحد أساليب الحماية التي استخدمها المطورون. لماذا؟ ليس واضحًا - لا أرى أي معنى منه - اعتراض تسجيل الدخول / كلمة المرور أو رأس http المطلوب لا يمثل مشكلة على الإطلاق.

بعد أن تلقى المستخدم رسالة نصية قصيرة وأدخل الرمز في التطبيق ، يرسل طلبًا للتحقق من موثوقية الرمز واستلام رمز مميز. كان الضعف التالي والأكثر أهمية هنا - لا توجد حماية ضد القوة الغاشمة. لا يتطلب اختيار رمز يتكون من 4 أرقام (!) الكثير من الوقت.

بعد تلقي الرمز المميز ، يمكنك استخدام أساليب API أخرى. أحدها يجعل من الممكن تغيير رمز PIN من بطاقة الولاء. الإجراء قياسي - أدخل رقم التعريف الشخصي القديم ، وأدخل رقمًا جديدًا. أريد التركيز على هذه الطريقة ، لأن المطور استخدم هنا طريقة أخرى من "الحماية" عديمة الفائدة. بطبيعة الحال ، لم تكن هناك حماية ضد القوة الغاشمة ، ولكن تم إرسال الدبوس القديم في شكل خفي. الفكرة جيدة - فقط الفرز بين المجموعات 0000-9999 سيفشل. التنفيذ سيء - بدلاً من الرمز ، يتم إرسال تجزئة md5. بدون بدائل الملح أو أي شيء آخر.

بصراحة ، ليس لدي أي فكرة عن كيفية الوصول إلى رمز التطبيق وما إذا كان هذا ممكنًا - لذا فإن md5 القديم سيوقفني إذا تم استخدام الملح.

كما أنني لم أتمكن من فرض رمز رمزي لحساب "أجنبي" فحسب ، بل تمكنت أيضًا من إدخاله في التطبيق - لقد كتبت برنامجًا نصيًا صغيرًا على node.js استبدل حركة المرور واستبدل فقط استجابات طريقة gettoken.

تم كتابة المقال بعد التحدث مع "نائب مدير قسم تكنولوجيا المعلومات" في الشركة. كان رد فعل الرجال بخفة - تمكنت من الحصول على اتصالات للاتصال في غضون 24 ساعة. لقد أرسلت وصفًا للثغرات الأمنية وسؤالًا عن وجود أخطاء المكافآت.

رداً على ذلك ، تلقيت رسالة تحتوي على معلومات يزعم أنها " رصدتني " - " لقد رأيتك (380958302 ---) على الفور وعملت الأقفال ... لن أخبر عن جميع الأقفال ، لكن الكثير منها ظهر أمس "

بالنسبة لي ، يبدو الأمر أشبه بالصقيع - لأنه ، كما أجبت على هذه الرسالة ، " المزاح هو أن هذا الرقم ليس مألوفًا بالنسبة لي. اختبرت على أرقام 095866 ... "

على عكس شركة WOG ، كان رئيس قسم أمن المعلومات في مشغل الهاتف المحمول أكثر ثرثرة ، وقاموا بتزويد الهاتف الذكي بالشكر =)