Сотовый оператор Velcom распространяет приложение «Velcom рекомендует», которое показывает счёт абонента, тариф, подключённые услуги и номер телефона.
Но вся фишка в том что для этого не нужно логиниться. Приложение само понимает чей счёт показать пользователю, но магия работает только если данные идут через мобильную сеть, а не по Wi-Fi.
У меня появилась версия что раз сотовый оператор и распространяет приложение, и является провайдером мобильного трафика, то он может определить от какого абонента идёт запрос.
Допустим он определяет по входящему IP адресу. Тогда что будет если находясь в сети этого оператора раздавать трафик по Wi-Fi? Получается, что другие устройства, подключившись к моему трафику, будут иметь мой IP адрес, а значит и получат доступ к моему акканту.
Ну что, это не сложно проверить. Мой коллега пользуется услугами данного сотового оператора и я попросил его расшарить Wi-Fi. Затем я зашёл в это приложение и увидел данные счёта этого коллеги у себя в телефоне. Успех.
Казалось бы это баг: шаришь трафик — а заодно и информацию о своём счёте. Я обратился в службу поддержки, но мне там сказали что всё норм, и что если шарить вайфай, то шарятся и параметры сети, по которым серверная часть приложения и определяет какой пользователь обратился. А значит что такое поведение — это просто недокументированная возможность приложения, хоть и странная.
Но вся фишка в том что для этого не нужно логиниться. Приложение само понимает чей счёт показать пользователю, но магия работает только если данные идут через мобильную сеть, а не по Wi-Fi.
У меня появилась версия что раз сотовый оператор и распространяет приложение, и является провайдером мобильного трафика, то он может определить от какого абонента идёт запрос.
Допустим он определяет по входящему IP адресу. Тогда что будет если находясь в сети этого оператора раздавать трафик по Wi-Fi? Получается, что другие устройства, подключившись к моему трафику, будут иметь мой IP адрес, а значит и получат доступ к моему акканту.
Ну что, это не сложно проверить. Мой коллега пользуется услугами данного сотового оператора и я попросил его расшарить Wi-Fi. Затем я зашёл в это приложение и увидел данные счёта этого коллеги у себя в телефоне. Успех.
Казалось бы это баг: шаришь трафик — а заодно и информацию о своём счёте. Я обратился в службу поддержки, но мне там сказали что всё норм, и что если шарить вайфай, то шарятся и параметры сети, по которым серверная часть приложения и определяет какой пользователь обратился. А значит что такое поведение — это просто недокументированная возможность приложения, хоть и странная.
Комментарии (6)
zo_oz
26.09.2015 03:27+1Подозреваю, что это приложение — просто браузер в личный кабинет, и все становится логично.
У мегафона то же самое, и уже давно, а если у вас еще и симка мегафона — то предложит без пароля под кем зайти. На мой взгляд — ожидаемое поведение. Это как с ссылками у тинькова недавно, в которых не нужна авторизация — не ставишь пароль ССЗБ, дал «не тому» человеку — ну в следующий раз не дашь. Пользы от этого больше, если честно.
Обратная сторона того же мегафона — я купил обычную симку для модема (у меня давно меньше обычного сим), и войти без пароля первый вход не даст(его надо установить). Имел только ноутбук с убунту, пришлось писать парселку смс на самом модеме, так как естественно никто ничего под убунту не выпускает.
baldr
То есть расшарил ты WiFi, а друг подключился, поставил себе приложение и попал в твой личный кабинет, ему доступны все твои личные данные?
Техподдержка пытается отмазаться, но они неправы.
Вообще, приложение, запущенное на телефоне может получить доступ к информации (с необходимыми правами, конечно), в том числе и о номере. А сравнить номер с номером аккаунта — самое первое что может придти в голову.
Можете написать им жалобу письмом и предложить решение.
oldHamtick
Или сделали бы авторизацию по смс
xxxTy3uKxxx
Такая же ситуация была (и есть?) у МТС. Расшарив интернет по Wi-Fi можно было без логина попасть в личный кабинет.
ingumsky
И у Мегафона (соответственно, в России, а не в РБ), как я помню, была такая «фишка» с их личным кабинетом.
baldr
Я расцениваю это только как рукожопость и огромную брешь в безопасности.
Раньше у Мегафона в личном кабинете можно было найти архив всех смс-сообщений, сейчас до сих пор так?
То есть цепляемся к расшаренному вайфаю друга, заходим в ЛК и можем сделать что угодно с любым его сервисом, на котором включена, скажем, двухфакторная аутентификация?
Сменить пароль на почтовом ящике, интернет-банке, даже открыть и завести машину…
Да тут золотое дно для мошенников… Делаешь что угодно, а потом заявляешь — это был не я, это кто-то украл мой планшет, подцепился к моему вайфаю телефона и перевел все деньги с карточки…