Introdução
Fui inspirado para escrever este post por um artigo que paira sobre Habré há muito tempo . Quero pedir desculpas ao autor imediatamente, é impossível pensar em um nome melhor. Como todos sabem, a Pyaterochka anuncia ativamente seus cartões de fidelidade. No artigo acima, fomos informados de que os golpistas ativam os cartões de outras pessoas e cancelam os pontos. Os hackers foram além e em vez de ativar os cartões de outras pessoas, eles simplesmente começaram a hackear as contas pessoais dos usuários. O que? Parece ainda mais fácil ativar os cartões, vamos dar uma olhada mais de perto.
Um pouco sobre a segurança das contas pessoais
Como podemos ver, você pode inserir sua conta pessoal usando seu número de telefone e senha, mas nem tudo é tão simples. Após inserir os dados, aparece uma janela para inserir o código SMS, que foi enviado para o telefone do proprietário.
Parece como hackear isso? É impossível iterar sobre o código, existem apenas 3 tentativas e o código tem quatro dígitos. Nós imediatamente descartamos essa opção, mas os hackers de alguma forma conseguem, o que significa que teremos sucesso!
Aplicação Pyaterochka
Como qualquer outra loja com programa de fidelidade, a rede de lojas Pyaterochka possui um aplicativo próprio. Só o aplicativo não é simples, mas com suas próprias baratas no código. Vamos descobrir o que há de errado com o aplicativo.
Você também pode inserir sua conta pessoal usando um número de telefone e senha, e uma confirmação por SMS vem de cima, mas há um ponto interessante. O aplicativo "lembra" a conta e, da próxima vez que você tentar inserir, em vez do código SMS para o telefone, ele enviará uma notificação push diretamente para o aplicativo. Vou explicar com mais detalhes agora. Quando você entra em sua conta pela primeira vez, você deve inserir o código do SMS para entrar. Se por algum motivo você decidir fazer logout e login novamente, na segunda vez e nas subseqüentes, você não receberá o código SMS e, em vez disso, o campo do código SMS será preenchido no aplicativo. Maravilhoso! Isso é feito lindamente, é claro, mas há uma grande desvantagem. Percebi um bug no aplicativo "Pyaterochka" da versão 2.12.1, possivelmente em outras versões. Qual é o bug e como posso repeti-lo?
Abaixo você pode ver dois vídeos, eles não foram filmados por mim, mas eles mostram muito claramente todos os problemas de notificações push e o bug do aplicativo.
i.imgur.com/BcLnANt.mp4
i.imgur.com/LIGOkBT.mp4
O primeiro vídeo mostra como o hacker insere as informações de login, recebe um SMS no telefone e faz login em sua conta. Em seguida, ele sai e passa a autorização novamente. Na segunda vez, podemos ver claramente que nenhum SMS chega ao telefone e o campo de entrada é preenchido automaticamente com uma notificação push. "
No segundo vídeo, o atacante já está tentando entrar em uma conta que não pertence a ele. Ele insere os dados, mas não sabe o código do SMS por motivos óbvios. Em seguida, ele remove o aplicativo dos processos e o inicia novamente. Nesse ponto, o bug do aplicativo está claramente visível. Uma janela completamente branca é aberta, após a qual o invasor se desconecta da conta. Em seguida, ele insere os dados de login novamente e eis que ele recebe uma notificação push! Por quê isso aconteceu? Você precisa perguntar aos desenvolvedores de aplicativos ...
Métodos de solução
Pessoalmente, posso aconselhar os desenvolvedores a desabilitar as notificações push para que os invasores não possam hackear contas. Desative, é claro, por um tempo até que o problema seja resolvido. Eu mesmo não sou bom no desenvolvimento de aplicativos e não posso aconselhar nada sensato, mas eles ainda não desligaram as notificações push.
Efeitos
Por causa de um erro no código, as pessoas comuns sofrem, ou seja, os compradores genuínos. Você pode ler comentários irritados de que pontos foram roubados de pessoas acessando o link: vk.com/topic-19098821_24191218 . Abaixo vou deixar alguns posts, na verdade, existem muitos mais, mas acho que agora não consigo encontrar alguns.
O problema de roubar pontos é muito relevante e esse negócio está florescendo há pelo menos um ano. Você pode até encontrar postagens em uma pick-up .
conclusões
Não existem aplicativos perfeitos, mas esse bug é terrível. Não exorto você a infringir a lei e, principalmente, a roubar algo de alguém! A postagem foi criada com o objetivo de corrigir um bug e chegar aos desenvolvedores do aplicativo (enviei a carta para eles há mais de um mês e o resultado foi zero)
Tudo bem e não cometa esses erros no código! "