Este conto tem duas partes:
- Detecção de uma vulnerabilidade que parecia mais provável devido à falta de atenção dos desenvolvedores;
- Relatório da descoberta em Beeline.
Mas este post não teria aparecido se tudo tivesse sido tão simples.
Parte 1. O que aconteceu?
Ontem, enquanto depurava meu aplicativo no Android Studio, abri o Logcat e vi que "My Beeline" piscava lá. E daí? Eu realmente tenho esse aplicativo instalado. Muitos aplicativos gravam algo no log.
Mas Acabou sendo um pedido HTTP e log de resposta. Novamente, isso não é tão assustador. Link de solicitação da API, mensagem sobre resposta bem-sucedida.
Mas Além do link, os cabeçalhos e o corpo da solicitação, incluindo conteúdo json (cuidadosamente formatado) e sessões de token.
Então você pode fazer a pipoca, filtrar pela palavra-chave "beeline" e observar a vida útil da rede no aplicativo.
Parte 2. Soamos o alarme.
Obviamente, isso não deve ser deixado. Sem hesitar, vou ao site da empresa mencionada acima, corro meus olhos na diagonal e não encontro nada melhor do que uma oferta para iniciar um bate-papo com suporte direto no site. É claro que me deparei com o controle de rosto na forma de um bot de bate-papo.
Isto foi seguido pelo seguinte diálogo:
Diálogo com o botBot: Obrigado por entrar em contato com nosso bate-papo. Faça uma pergunta e nossos especialistas ajudarão você a encontrar uma solução.
Eu: Boa tarde, descobri acidentalmente uma vulnerabilidade no seu aplicativo Android, onde posso denunciá-lo?
Bot: iMessage e FaceTime são tecnologias desenvolvidas pela Apple mediante taxa. É necessária uma conexão à Internet para usar. iMessage - permite enviar uma mensagem de texto para outro usuário do iMessage. É possível desativar o serviço nas configurações do seu dispositivo: "Configurações" - "Mensagens" - "iMessage" - desative. O FaceTime é um programa com o qual você pode fazer chamadas de vídeo e áudio entre dispositivos Apple. Você também pode desativar esta opção nas configurações do seu dispositivo: "Configurações" - "FaceTime" - desativar. Se você ainda tiver dúvidas sobre as possibilidades desse serviço, entre em contato com elas. Suporte para Apple iPhone: 8-800-555-67-34 (ligação gratuita).
Eu: o que?
Bot: especifique o que lhe interessa.
Eu: descobri acidentalmente uma vulnerabilidade no seu aplicativo Android, onde posso denunciá-lo?
Bot: iMessage e FaceTime são tecnologias desenvolvidas pela Apple mediante taxa. É necessária uma conexão à Internet para usar. iMessage - permite enviar uma mensagem de texto para outro usuário do iMessage. É possível desativar o serviço nas configurações do seu dispositivo: "Configurações" - "Mensagens" - "iMessage" - desative. O FaceTime é um programa com o qual você pode fazer chamadas de vídeo e áudio entre dispositivos Apple. Você também pode desativar esta opção nas configurações do seu dispositivo: "Configurações" - "FaceTime" - desativar. Se você ainda tiver dúvidas sobre as possibilidades desse serviço, entre em contato com elas. Suporte para Apple iPhone: 8-800-555-67-34 (ligação gratuita).
Eu: o que está acontecendo?
Bot: reformule sua pergunta.
Eu: descobri acidentalmente uma vulnerabilidade no seu aplicativo Android, onde posso denunciá-lo?
Bot: iMessage e FaceTime são tecnologias desenvolvidas pela Apple mediante taxa. É necessária uma conexão à Internet para usar. iMessage - permite enviar uma mensagem de texto para outro usuário do iMessage. É possível desativar o serviço nas configurações do seu dispositivo: "Configurações" - "Mensagens" - "iMessage" - desative. O FaceTime é um programa com o qual você pode fazer chamadas de vídeo e áudio entre dispositivos Apple. Você também pode desativar esta opção nas configurações do seu dispositivo: "Configurações" - "FaceTime" - desativar. Se você ainda tiver dúvidas sobre as possibilidades desse serviço, entre em contato com elas. Suporte para Apple iPhone: 8-800-555-67-34 (ligação gratuita).
Eu não tenho absolutamente nenhuma idéia por causa de qual palavra-chave o bot estava distorcendo tanto. Fiquei rapidamente entediado com essa conversa com uma secretária eletrônica. Tentei uma combinação diferente e, eis que as informações de ajuda foram despejadas em mim novamente, mas no final ainda me ofereceram a conversar com uma pessoa real. Hurrah, um certo Oleg apareceu, estudou meu diálogo com o robô (provavelmente ele ficou aliviado que os robôs ainda não o substituiriam) e me aconselhou a descrever minha descoberta com screenshots para otvet@beeline.ru (não consegui encontrar sua menção no site, talvez seja ruim Eu estava procurando). Então Oleg me agradeceu pela ajuda e saiu para resgatar outros robôs.
Encantado com o progresso, escrevi o seguinte no correio indicado:
Minha cartaBoa tarde
Descobri acidentalmente que o aplicativo android My Beeline mescla todas as solicitações de API no log, juntamente com tokens e conteúdo json. Na minha opinião, isso é uma vulnerabilidade.
Atenciosamente
Kozlov Mikhail
Satisfeito consigo mesmo, preparou-se café e continuou trabalhando. Hoje a resposta veio.
A respostaOlá Michael!
Não está claro o que exatamente não funciona para você. Descreva seu problema com mais detalhes.
Obrigado por usar os serviços Beeline.
Atenciosamente
Nekrasov Vyacheslav,
Serviço de Suporte ao Cliente Beeline.
Após o ritual do facepalm, para não escrever uma mensagem de que não funciona para mim, mas para eles: bot de bate-papo, serviço de suporte e desenvolvedores de aplicativos, descrevi o problema com mais detalhes.
Desta vez, não tive que esperar muito, a resposta veio em cinco minutos.
Aqui está eleCaro cliente! Nós nos esforçamos para acompanhar os horários e prestar serviços nos canais de comunicação relevantes. É importante para nós que você receba feedback o mais breve possível. O suporte por email não está disponível. Para obter uma resposta instantânea a qualquer pergunta, convidamos você a conversar com um especialista no site: https://beeline.ru/customers/pomosh/ ou no aplicativo Mobile: https://beeline.ru/dl ! Observe que esta carta é gerada automaticamente e nenhuma resposta é necessária. Estamos esperando por você em um bate-papo no site ou no aplicativo móvel. Sua linha reta!
