Diese Kurzgeschichte besteht aus zwei Teilen:
- Erkennung einer Sicherheitsanfälligkeit, die höchstwahrscheinlich auf Unaufmerksamkeit der Entwickler zurückzuführen ist;
- Bericht über den Fund in Beeline.
Aber dieser Beitrag wäre nicht erschienen, wenn alles so einfach gewesen wäre.
Teil 1. Was ist passiert?
Gestern, als ich meine Anwendung in Android Studio debuggte, habe ich Logcat geöffnet und festgestellt, dass dort „My Beeline“ blinkt. Na und? Ich habe diese Anwendung wirklich installiert. Viele Anwendungen schreiben etwas in das Protokoll.
Aber. Es stellte sich heraus, dass es sich um ein HTTP-Anforderungs- und Antwortprotokoll handelte. Auch dies ist nicht so beängstigend. API-Anforderungslink, Nachricht über erfolgreiche Antwort.
Aber. Zusätzlich zum Link werden die Header und der Anforderungshauptteil einschließlich JSON-Inhalte (sorgfältig formatiert) und Token-Sitzungen.
Dann können Sie sich einfach Popcorn machen, nach dem Schlüsselwort "beeline" filtern und die Netzwerklebensdauer der Anwendung beobachten.
Teil 2. Wir schlagen Alarm.
Dies sollte natürlich nicht verlassen werden. Ohne zu zögern gehe ich auf die Website des oben genannten Unternehmens, laufe diagonal durch meine Augen und finde nichts Besseres als ein Angebot, einen Chat mit Support direkt auf der Website zu starten. Natürlich stoße ich auf Gesichtskontrolle in Form eines Chat-Bots.
Darauf folgte der folgende Dialog:
Dialog mit dem BotBot: Danke, dass Sie unseren Chat kontaktiert haben. Wenn Sie eine Frage stellen, helfen Ihnen unsere Experten bei der Suche nach einer Lösung.
Ich: Guten Tag, ich habe versehentlich eine Sicherheitslücke in Ihrer Android-Anwendung entdeckt. Wo kann ich sie melden?
Bot: iMessage und FaceTime sind Technologien, die von Apple gegen eine Gebühr entwickelt wurden. Zur Nutzung ist eine Internetverbindung erforderlich. iMessage - Ermöglicht das Senden einer Textnachricht an einen anderen iMessage-Benutzer. Das Deaktivieren des Dienstes ist in den Einstellungen Ihres Geräts möglich: "Einstellungen" - "Nachrichten" - "iMessage" - Deaktivieren. FaceTime ist ein Programm, mit dem Sie Video- und Audioanrufe zwischen Apple-Geräten tätigen können. Sie können diese Option auch in den Einstellungen Ihres Geräts deaktivieren: "Einstellungen" - "FaceTime" - deaktivieren. Wenn Sie noch Fragen zu den Möglichkeiten dieses Dienstes haben, können Sie sich an diese wenden. Apple iPhone Support: 8-800-555-67-34 (kostenloser Anruf).
Ich: Was?
Bot: Bitte geben Sie an, was Sie interessiert.
Ich: Ich habe versehentlich eine Sicherheitslücke in Ihrer Android-Anwendung entdeckt. Wo kann ich sie melden?
Bot: iMessage und FaceTime sind Technologien, die von Apple gegen eine Gebühr entwickelt wurden. Zur Nutzung ist eine Internetverbindung erforderlich. iMessage - Ermöglicht das Senden einer Textnachricht an einen anderen iMessage-Benutzer. Das Deaktivieren des Dienstes ist in den Einstellungen Ihres Geräts möglich: "Einstellungen" - "Nachrichten" - "iMessage" - Deaktivieren. FaceTime ist ein Programm, mit dem Sie Video- und Audioanrufe zwischen Apple-Geräten tätigen können. Sie können diese Option auch in den Einstellungen Ihres Geräts deaktivieren: "Einstellungen" - "FaceTime" - deaktivieren. Wenn Sie noch Fragen zu den Möglichkeiten dieses Dienstes haben, können Sie sich an diese wenden. Apple iPhone Support: 8-800-555-67-34 (kostenloser Anruf).
Ich: was ist los?
Bot: Bitte formulieren Sie Ihre Frage neu.
Ich: Ich habe versehentlich eine Sicherheitslücke in Ihrer Android-Anwendung entdeckt. Wo kann ich sie melden?
Bot: iMessage und FaceTime sind Technologien, die von Apple gegen eine Gebühr entwickelt wurden. Zur Nutzung ist eine Internetverbindung erforderlich. iMessage - Ermöglicht das Senden einer Textnachricht an einen anderen iMessage-Benutzer. Das Deaktivieren des Dienstes ist in den Einstellungen Ihres Geräts möglich: "Einstellungen" - "Nachrichten" - "iMessage" - Deaktivieren. FaceTime ist ein Programm, mit dem Sie Video- und Audioanrufe zwischen Apple-Geräten tätigen können. Sie können diese Option auch in den Einstellungen Ihres Geräts deaktivieren: "Einstellungen" - "FaceTime" - deaktivieren. Wenn Sie noch Fragen zu den Möglichkeiten dieses Dienstes haben, können Sie sich an diese wenden. Apple iPhone Support: 8-800-555-67-34 (kostenloser Anruf).
Ich habe absolut keine Ahnung, welches Keyword der Bot so stark verzerrt hat. Dieses Gespräch mit einem Anrufbeantworter langweilte mich schnell. Ich habe eine andere Kombination ausprobiert und siehe da, die Hilfeinformationen wurden wieder auf mich gestapelt, aber am Ende wurde mir immer noch angeboten, mit einer realen Person zu sprechen. Hurra, ein gewisser Oleg, erschien, studierte meinen Dialog mit dem Roboter (wahrscheinlich war er erleichtert, dass die Roboter ihn noch nicht ersetzen würden) und riet mir, meinen Fund mit Screenshots an otvet@beeline.ru zu beschreiben (ich konnte ihre Erwähnung auf der Website nicht finden, vielleicht ist es schlecht Ich habe gesucht). Dann dankte Oleg mir für die Hilfe und ging, um andere Roboter zu retten.
Ich freute mich über den Fortschritt und schrieb Folgendes an die angegebene Mail:
Mein Briefguten Tag
Ich habe versehentlich festgestellt, dass die Android-Anwendung My Beeline alle API-Anforderungen zusammen mit Token und JSON-Inhalten im Protokoll zusammenführt. Meiner Meinung nach ist dies eine Sicherheitslücke.
Mit freundlichen Grüßen,
Kozlov Mikhail
Zufrieden mit sich selbst kochte er sich Kaffee und arbeitete weiter. Heute kam die Antwort.
Die AntwortHallo Michael!
Es ist nicht klar, was genau bei Ihnen nicht funktioniert. Beschreiben Sie Ihr Problem genauer.
Vielen Dank, dass Sie die Beeline-Dienste nutzen.
Mit freundlichen Grüßen,
Nekrasov Vyacheslav,
Beeline Kundendienst.
Nach dem Facepalm-Ritual habe ich das Problem ausführlicher beschrieben, um nicht zu schreiben, dass es nicht für mich, sondern für sie funktioniert: einen Chat-Bot, einen Support-Service und Anwendungsentwickler.
Dieses Mal musste ich nicht lange warten, die Antwort kam in fünf Minuten.
Da ist erSehr geehrter Kunde! Wir bemühen uns, mit der Zeit zu gehen und Service in relevanten Kommunikationskanälen anzubieten. Es ist uns wichtig, dass Sie so schnell wie möglich Feedback von uns erhalten. E-Mail-Support ist nicht verfügbar. Um eine sofortige Antwort auf jede Frage zu erhalten, laden wir Sie ein, mit einem Spezialisten auf der Website zu chatten: https://beeline.ru/customers/pomosh/ oder in der mobilen Anwendung: https://beeline.ru/dl ! Bitte beachten Sie, dass dieser Brief automatisch generiert wird und keine Antwort erforderlich ist. Wir warten auf Sie in einem Chat auf der Website oder in der mobilen Anwendung. Deine Linie!
