Cerpen ini memiliki dua bagian:
- Deteksi kerentanan yang muncul kemungkinan besar karena kurangnya perhatian pengembang;
- Laporan temuan di Beeline.
Tetapi posting ini tidak akan muncul jika semuanya begitu sederhana.
Bagian 1. Apa yang terjadi?
Kemarin, ketika debugging aplikasi saya di Android Studio, saya membuka Logcat, dan melihat bahwa "My Beeline" muncul di sana. Jadi apa Saya benar-benar telah menginstal aplikasi ini. Banyak aplikasi menulis sesuatu ke log.
Tapi Ternyata permintaan dan respons log HTTP. Sekali lagi, ini tidak begitu menakutkan. Tautan permintaan API, pesan tentang respons yang berhasil.
Tapi Selain tautan, tajuk dan badan permintaan, termasuk konten json (diformat dengan cermat) dan sesi token.
Kemudian Anda bisa membuat sendiri popcorn, memfilter dengan kata kunci "langsung menuju" dan menonton kehidupan jaringan aplikasi.
Bagian 2. Kami membunyikan alarm.
Tentu saja, ini tidak boleh dibiarkan begitu saja. Tanpa ragu-ragu, saya pergi ke situs perusahaan yang disebutkan di atas, saya berlari di mata saya secara diagonal dan menemukan tidak ada yang lebih baik daripada tawaran untuk memulai obrolan dengan dukungan langsung di situs. Tentu saja, saya menemukan kontrol wajah dalam bentuk bot obrolan.
Ini diikuti oleh dialog berikut:
Dialog dengan botBot: Terima kasih telah menghubungi obrolan kami. Ajukan pertanyaan dan para ahli kami akan membantu Anda menemukan solusi.
Saya: Selamat siang, saya tidak sengaja menemukan kerentanan di aplikasi android Anda, di mana saya bisa melaporkannya?
Bot: iMessage dan FaceTime adalah teknologi yang dikembangkan oleh Apple dengan biaya tertentu. Diperlukan koneksi internet untuk menggunakan. iMessage - memungkinkan Anda untuk mengirim pesan teks ke pengguna iMessage lain. Menonaktifkan layanan dimungkinkan dalam pengaturan perangkat Anda: "Pengaturan" - "Pesan" - "iMessage" - nonaktifkan. FaceTime adalah program untuk melakukan panggilan video dan audio antar perangkat Apple. Anda juga dapat menonaktifkan opsi ini di pengaturan perangkat Anda: "Pengaturan" - "FaceTime" - nonaktifkan. Jika Anda masih memiliki pertanyaan tentang kemungkinan dalam layanan ini, maka Anda dapat menghubungi mereka. Dukungan Apple iPhone: 8-800-555-67-34 (panggilan gratis).
Saya: Apa?
Bot: Silakan tentukan minat Anda.
Saya: Saya tidak sengaja menemukan kerentanan di aplikasi android Anda, di mana saya bisa melaporkannya?
Bot: iMessage dan FaceTime adalah teknologi yang dikembangkan oleh Apple dengan biaya tertentu. Diperlukan koneksi internet untuk menggunakan. iMessage - memungkinkan Anda untuk mengirim pesan teks ke pengguna iMessage lain. Menonaktifkan layanan dimungkinkan dalam pengaturan perangkat Anda: "Pengaturan" - "Pesan" - "iMessage" - nonaktifkan. FaceTime adalah program untuk melakukan panggilan video dan audio antar perangkat Apple. Anda juga dapat menonaktifkan opsi ini di pengaturan perangkat Anda: "Pengaturan" - "FaceTime" - nonaktifkan. Jika Anda masih memiliki pertanyaan tentang kemungkinan dalam layanan ini, maka Anda dapat menghubungi mereka. Dukungan Apple iPhone: 8-800-555-67-34 (panggilan gratis).
Saya: apa yang terjadi?
Bot: Tolong susun ulang pertanyaan Anda.
Saya: Saya tidak sengaja menemukan kerentanan di aplikasi android Anda, di mana saya bisa melaporkannya?
Bot: iMessage dan FaceTime adalah teknologi yang dikembangkan oleh Apple dengan biaya tertentu. Diperlukan koneksi internet untuk menggunakan. iMessage - memungkinkan Anda untuk mengirim pesan teks ke pengguna iMessage lain. Menonaktifkan layanan dimungkinkan dalam pengaturan perangkat Anda: "Pengaturan" - "Pesan" - "iMessage" - nonaktifkan. FaceTime adalah program untuk melakukan panggilan video dan audio antar perangkat Apple. Anda juga dapat menonaktifkan opsi ini di pengaturan perangkat Anda: "Pengaturan" - "FaceTime" - nonaktifkan. Jika Anda masih memiliki pertanyaan tentang kemungkinan dalam layanan ini, maka Anda dapat menghubungi mereka. Dukungan Apple iPhone: 8-800-555-67-34 (panggilan gratis).
Saya sama sekali tidak tahu karena kata kunci apa yang didistorsi bot itu. Saya cepat bosan dengan percakapan ini dengan mesin penjawab. Saya mencoba kombinasi lain dan, lihat, informasi bantuan ditumpuk pada saya lagi, tetapi pada akhirnya saya masih ditawari untuk berbicara dengan orang sungguhan. Hooray, seorang Oleg muncul, mempelajari dialog saya dengan robot (mungkin dia lega bahwa robot belum akan menggantikannya) dan menyarankan saya untuk menjelaskan temuan saya dengan tangkapan layar ke otvet@beeline.ru (saya tidak dapat menemukannya menyebutkan di situs, mungkin itu buruk Saya sedang mencari). Kemudian Oleg mengucapkan terima kasih atas bantuannya dan pergi untuk menyelamatkan robot lain.
Saya, senang dengan kemajuannya, menulis yang berikut ke surat yang ditunjukkan:
Surat sayaSelamat siang
Saya tidak sengaja menemukan bahwa aplikasi android My Beeline menggabungkan semua permintaan API ke dalam log bersama dengan konten token dan json. Menurut pendapat saya, ini adalah kerentanan.
Salam
Kozlov Mikhail
Puas dengan dirinya sendiri, dia membuat kopi sendiri dan terus bekerja. Hari ini jawabannya datang.
JawabannyaHalo Michael!
Tidak jelas apa yang sebenarnya tidak berhasil untuk Anda. Jelaskan masalah Anda secara lebih rinci.
Terima kasih telah menggunakan layanan Beeline.
Hormat kami
Nekrasov Vyacheslav,
Langsung menuju Layanan Dukungan Pelanggan.
Setelah ritual facepalm, agar tidak menulis pesan yang mengatakan bahwa itu tidak bekerja bukan untuk saya, tetapi bagi mereka: bot obrolan, layanan dukungan, dan pengembang aplikasi, saya menggambarkan masalahnya secara lebih rinci.
Kali ini, saya tidak perlu menunggu lama, jawabannya datang dalam lima menit.
Ini diaPelanggan yang terhormat! Kami berusaha keras untuk mengikuti perkembangan zaman dan menyediakan layanan di saluran komunikasi yang relevan. Penting bagi kami agar Anda menerima umpan balik dari kami sesegera mungkin. Dukungan email tidak tersedia. Untuk mendapatkan jawaban instan atas pertanyaan apa pun, kami mengundang Anda untuk mengobrol dengan spesialis di situs web: https://beeline.ru/customers/pomosh/ atau dalam aplikasi Seluler: https://beeline.ru/dl ! Harap dicatat bahwa surat ini dihasilkan secara otomatis dan tidak diperlukan respons. Kami menunggu Anda dalam obrolan di situs atau di aplikasi seluler. Langsung menuju Anda!
