Este cuento tiene dos partes:
- Detección de una vulnerabilidad que probablemente apareció debido a la falta de atención de los desarrolladores;
- Informe del hallazgo en Beeline.
Pero esta publicación no habría aparecido si todo hubiera sido tan simple.
Parte 1. ¿Qué pasó?
Ayer, mientras depuraba mi aplicación en Android Studio, abrí Logcat y vi que "My Beeline" aparecía allí. ¿Y qué? Realmente tengo esta aplicación instalada. Muchas aplicaciones escriben algo en el registro.
Pero Resultó ser un registro de solicitud y respuesta HTTP. De nuevo, esto no es tan aterrador. Enlace de solicitud de API, mensaje sobre respuesta exitosa.
Pero Además del enlace, los encabezados y el cuerpo de la solicitud, incluidos contenido json (cuidadosamente formateado) y sesiones de token.
Luego puede hacerse palomitas de maíz, filtrar por la palabra clave "beeline" y ver la vida de red de la aplicación.
Parte 2. Hacemos sonar la alarma.
Por supuesto, esto no debe dejarse. Sin dudarlo, voy al sitio de la compañía mencionada anteriormente, me paso la vista en diagonal y no encuentro nada mejor que una oferta para iniciar un chat con soporte en el sitio. Por supuesto, me encuentro con el control de la cara en forma de un bot de chat.
Esto fue seguido por el siguiente diálogo:
Diálogo con el botBot: Gracias por contactar nuestro chat. Haga una pregunta y nuestros expertos lo ayudarán a encontrar una solución.
Yo: Buenas tardes, descubrí accidentalmente una vulnerabilidad en su aplicación de Android, ¿dónde puedo denunciarla?
Bot: iMessage y FaceTime son tecnologías desarrolladas por Apple por una tarifa. Se requiere una conexión a Internet para usar. iMessage: le permite enviar un mensaje de texto a otro usuario de iMessage. Deshabilitar el servicio es posible en la configuración de su dispositivo: "Configuración" - "Mensajes" - "iMessage" - deshabilitar. FaceTime es un programa con el que puedes hacer llamadas de video y audio entre dispositivos Apple. También puede desactivar esta opción en la configuración de su dispositivo: "Configuración" - "FaceTime" - desactivar. Si todavía tiene preguntas sobre las posibilidades dentro de este servicio, puede contactarlas. Soporte de iPhone de Apple: 8-800-555-67-34 (llamada gratuita).
Yo: que?
Bot: Por favor, especifique lo que le interesa.
Yo: accidentalmente descubrí una vulnerabilidad en tu aplicación de Android, ¿dónde puedo denunciarla?
Bot: iMessage y FaceTime son tecnologías desarrolladas por Apple por una tarifa. Se requiere una conexión a Internet para usar. iMessage: le permite enviar un mensaje de texto a otro usuario de iMessage. Deshabilitar el servicio es posible en la configuración de su dispositivo: "Configuración" - "Mensajes" - "iMessage" - deshabilitar. FaceTime es un programa con el que puedes hacer llamadas de video y audio entre dispositivos Apple. También puede desactivar esta opción en la configuración de su dispositivo: "Configuración" - "FaceTime" - desactivar. Si todavía tiene preguntas sobre las posibilidades dentro de este servicio, puede contactarlas. Soporte de iPhone de Apple: 8-800-555-67-34 (llamada gratuita).
Yo: ¿qué está pasando?
Bot: Por favor reformule su pregunta.
Yo: accidentalmente descubrí una vulnerabilidad en tu aplicación de Android, ¿dónde puedo denunciarla?
Bot: iMessage y FaceTime son tecnologías desarrolladas por Apple por una tarifa. Se requiere una conexión a Internet para usar. iMessage: le permite enviar un mensaje de texto a otro usuario de iMessage. Deshabilitar el servicio es posible en la configuración de su dispositivo: "Configuración" - "Mensajes" - "iMessage" - deshabilitar. FaceTime es un programa con el que puedes hacer llamadas de video y audio entre dispositivos Apple. También puede desactivar esta opción en la configuración de su dispositivo: "Configuración" - "FaceTime" - desactivar. Si todavía tiene preguntas sobre las posibilidades dentro de este servicio, puede contactarlas. Soporte de iPhone de Apple: 8-800-555-67-34 (llamada gratuita).
No tengo ni idea de qué palabra clave distorsionó tanto el bot. Me aburrí rápidamente con esta conversación con un contestador automático. Intenté otra combinación y, he aquí, la información de ayuda se me volvió a apilar, pero al final todavía me ofrecieron hablar con una persona real. Hurray, apareció cierto Oleg, estudió mi diálogo con el robot (probablemente se sintió aliviado de que los robots aún no lo reemplazaran) y me aconsejó que describiera mi hallazgo con capturas de pantalla a otvet@beeline.ru (no encontré su mención en el sitio, puede ser malo Estaba buscando) Entonces Oleg me agradeció la ayuda y se fue a rescatar a otros robots.
Yo, encantado con el progreso, escribí lo siguiente al correo indicado:
Mi cartaBuenas tardes
Descubrí accidentalmente que la aplicación de Android My Beeline combina todas las solicitudes de API en el registro junto con tokens y contenido json. En mi opinión, esto es una vulnerabilidad.
Saludos
Kozlov Mikhail
Satisfecho consigo mismo, se hizo café y continuó trabajando. Hoy llegó la respuesta.
La respuestaHola michael
No está claro qué es exactamente lo que no funciona para usted. Describa su problema con más detalle.
Gracias por usar los servicios de Beeline.
Saludos cordiales
Nekrasov Vyacheslav,
Servicio de atención al cliente Beeline.
Después del ritual facepalm, para evitar escribir un mensaje diciendo que no funciona para mí, sino para ellos: un bot de chat, servicio de soporte y desarrolladores de aplicaciones, describí el problema con más detalle.
Esta vez, no tuve que esperar mucho, la respuesta llegó en cinco minutos.
Aqui estaEstimado cliente! Nos esforzamos por mantenernos al día y brindar servicio en canales de comunicación relevantes. Es importante para nosotros que reciba sus comentarios lo antes posible. El soporte por correo electrónico no está disponible. Para obtener una respuesta instantánea a cualquier pregunta, lo invitamos a chatear con un especialista en el sitio web: https://beeline.ru/customers/pomosh/ o en la aplicación móvil: https://beeline.ru/dl . Tenga en cuenta que esta carta se genera automáticamente y no se requiere respuesta. Te esperamos en un chat en el sitio o en la aplicación móvil. Tu beeline!
