Эта короткая история состоит из двух частей:
- Обнаружение уязвимости, появившейся, скорее всего, из-за невнимательности разработчиков;
- Сообщение о находке в Билайн.
Но этого поста не появилось бы, если бы все было так просто.
Часть 1. Что произошло?
Вчера, отлаживая свое приложение в Android Studio, я открыл Logcat, и увидел что там промелькнул "Мой билайн". Ну и что? У меня действительно установлено это приложение. Многие приложения что-то пишут в лог.
Но. Это оказался лог HTTP запроса и ответа. Опять же, это не так страшно. Ссылка запроса к API, сообщение об успешном ответе.
Но. В логе помимо ссылки оказались также хедеры и тело запроса, в т.ч. json содержимое (заботливо отформатированное) и token сессии.
Дальше можно просто сделать себе попкорн, отфильтроваться по ключевому слову "beeline" и наблюдать за сетевой жизнью приложения.
Часть 2. Бьём тревогу.
Разумеется, так это оставлять нельзя. Не раздумывая, иду на сайт упомянутой выше компании, пробегаю глазами по диагонали и не нахожу ничего лучше предложения начать чат с поддержкой прямо на сайте. Разумеется, натыкаюсь на фейс-контроль в виде чат-бота.
Далее последовал следующий диалог:
Бот: Благодарим за обращение в наш чат. Задайте вопрос и наши специалисты помогут найти решение.
Я: Добрый день, случайно обнаружил в вашем android-приложении уязвимость, куда я могу о ней сообщить?
Бот: iMessage и FaceTime — технологии, разработанные компанией Apple, предоставляемые за отдельную плату. Для использования необходимо интернет-соединение. iMessage – позволяет отправить текстовое сообщение другому пользователю iMessage. Отключение сервиса возможно в настройках Вашего устройства: "Настройки"- "Сообщения" — "iMessage" — отключить. FaceTime — программа, с помощью которой Вы можете совершать видео- и аудиозвонки между устройствами Apple. Отключить эту опцию также можно в настройках Вашего аппарата: "Настройки"- "FaceTime" — отключить. Если у Вас по-прежнему остались вопросы о возможностях в рамках данного сервиса, то Вы можете обратиться в тех. поддержку Apple IPhone: 8-800-555-67-34 (звонок бесплатный).
Я: Что?
Бот: Уточните, пожалуйста, что именно Вас интересует.
Я: Случайно обнаружил в вашем android-приложении уязвимость, куда я могу о ней сообщить?
Бот: iMessage и FaceTime — технологии, разработанные компанией Apple, предоставляемые за отдельную плату. Для использования необходимо интернет-соединение. iMessage – позволяет отправить текстовое сообщение другому пользователю iMessage. Отключение сервиса возможно в настройках Вашего устройства: "Настройки"- "Сообщения" — "iMessage" — отключить. FaceTime — программа, с помощью которой Вы можете совершать видео- и аудиозвонки между устройствами Apple. Отключить эту опцию также можно в настройках Вашего аппарата: "Настройки"- "FaceTime" — отключить. Если у Вас по-прежнему остались вопросы о возможностях в рамках данного сервиса, то Вы можете обратиться в тех. поддержку Apple IPhone: 8-800-555-67-34 (звонок бесплатный).
Я: что происходит?
Бот: Переформулируйте, пожалуйста, Ваш вопрос.
Я: Случайно обнаружил в вашем android-приложении уязвимость, куда я могу о ней сообщить?
Бот: iMessage и FaceTime — технологии, разработанные компанией Apple, предоставляемые за отдельную плату. Для использования необходимо интернет-соединение. iMessage – позволяет отправить текстовое сообщение другому пользователю iMessage. Отключение сервиса возможно в настройках Вашего устройства: "Настройки"- "Сообщения" — "iMessage" — отключить. FaceTime — программа, с помощью которой Вы можете совершать видео- и аудиозвонки между устройствами Apple. Отключить эту опцию также можно в настройках Вашего аппарата: "Настройки"- "FaceTime" — отключить. Если у Вас по-прежнему остались вопросы о возможностях в рамках данного сервиса, то Вы можете обратиться в тех. поддержку Apple IPhone: 8-800-555-67-34 (звонок бесплатный).
Совершенно не представляю из-за какого ключевого слова бота так передергивало. Мне быстро наскучил этот разговор с автоответчиком. Попробовал другую комбинацию и, о чудо, на меня снова вывалили справочную информацию, но в конце все-таки предложили поговорить с реальным человеком. Ура, появился некий Олег, изучил мой диалог с роботом (вероятно вздохнул с облегчением, что роботы его пока не заменят) и посоветовал мне описать мою находку со скриншотами на почту otvet@beeline.ru (ее упоминания на сайте я не нашел, может плохо искал). Затем Олег поблагодарил меня за помощь и ушел выручать других роботов.
Я, обрадованный прогрессу, написал на указанную почту следующее:
Добрый день
Случайно обнаружил, что android-приложение «Мой билайн» сливает в лог все запросы к API вместе с токенами и json содержимым. По-моему, это уязвимость.
С уважением,
Козлов Михаил
Довольный собой, сделал себе кофе и продолжил работать. Сегодня пришел ответ.
Здравствуйте, Михаил!
Не совсем понятно, что именно у Вас не работает. Более подробно опишите Вашу проблему.
Спасибо, что пользуетесь услугами «Билайн».
С наилучшими пожеланиями,
Некрасов Вячеслав,
Служба поддержки Клиентов «Билайн».
После facepalm-ритуала, удержавшить от написания сообщения о том, что не работает не у меня, а у них: чат-бот, служба поддержки и разработчики приложения, я более подробно описал проблему.
На этот раз долго ждать не пришлось, ответ пришел через пять минут.
Уважаемый клиент! Мы стремимся идти в ногу со временем и оказывать сервис в актуальных каналах коммуникации. Нам важно, чтобы Вы получали обратную связь от нас как можно скорее. Поддержка через e-mail недоступна. Для того, чтобы получить моментальный ответ на любой вопрос, приглашаем в чат со специалистом на сайте: https://beeline.ru/customers/pomosh/ или в Мобильном приложении: https://beeline.ru/dl! Обращаем внимание, что это письмо сформировано автоматически и ответ на него не требуется. Ждем Вас в чате на сайте или в мобильном приложении. Ваш Билайн!
Комментарии (84)
tvr
30.10.2018 17:46+10К середине истории автор настолько устал от общения с ботами, что решил всё бросить на полпути, в т.ч. и статью.
Piratnewtime
30.10.2018 18:04+1Сам имею опыт общения с «Менеджером поддержки» в лице тупейшего на нынешний день бота компании Билайн. Общаться пытался через приложение и так не нашел комбинацию как выйти на диалог с реальным человеком. Хотя и телефонный разговор с реальным менеджером не лучше, чем с ботом.
А токен можно использовать для полноценного доступа к апишке без необходимости получать привилегированные права в системе. А это наверное скрывает в себе много интересных фишек, таких как подписки на платные сервисы)Forwolk
30.10.2018 20:38Я когда хочу связаться с человеком, несколько раз подряд боту скармливаю слово «оператор» и когда уже реальный человек мне отвечает, излагаю суть проблемы.
kloppspb
31.10.2018 00:34Мне помогает такой хак: выйти на саппорт домашнего интернета (имеется, никаких нареканий, кстати, что не скажешь о телефонной связи в наших бубенях). Там нормальные люди, и они дальше на живых переключают :)
pyrk2142
30.10.2018 18:17+4Вспоминаю свои попытки достучаться до мобильных операторов, это было очень больно.
Небольшая предыстория: нашел у операторов большой четверки разные уязвимости (некоторые — достаточно серьезные, позволяют взламывать аккаунты на сервисах с СМС авторизацией (не SS7 проблемы, если что :) ). На черный рынок продавать очень не хотелось, поэтому стал пытаться написать операторам.
Теле2: дали адрес почты службы безопасности, сказали, что это единственный контакт. Полгода пытаюсь получить хоть какой-то ответ на почту, нет ничего. Обычная служба поддержки говорит, что это единственный контакт и «Надеемся, что служба безопасности ответит вам»
МТС: обещали передать информацию разработчикам, я отправил пару средних по опасности багов и добавил, что если им интересны более серьезные уязвимости, то я буду ждать писем от специалистов компании, чтобы общаться напрямую. Исчезли, на дальнейшие сообщения не реагировали.
Билайн: сказали, что служба безопасности не общается с клиентами, предложили передать данные (практика показывает, что в такой ситуации не будет никакого ответа и дальнейшего взаимодействия). К счастью, нашел адрес службы разбора конфликтных ситуаций, там предложили сертификат белого хакера, который ценится в профессиональном сообществе. Это было последнее письмо от них, больше ответов не было.
Мегафон: сначала служба поддержки предложила написать бумажное письмо (!) в Москву, но потом я нашел сотрудника компании, который согласился передать информацию нужным отделам. Взаимодействие продолжается, пока это единственная компания, которая что-то делает.ReinRaus
30.10.2018 18:30+9Не переживайте. О Вас вспомнят, когда кто-то другой найдет эту же уязвимость и её успешно проэксплуатирует с заметными последствиями. Тогда Вы станете первым подозреваемым.
lonelysuch
30.10.2018 23:45Билайн: сказали, что служба безопасности не общается с клиентами
Очень даже общается, когда сообщаешь о мошенничестве. Но, видимо, это единственное исключение из правил.
UksusoFF
30.10.2018 18:27+1Как-то раз меня убеждали сменить банк и среди аргументов было:
Смотри тут в чатике даже не нужно ждать ответа специалиста в большинстве случаев! Ты просто пишешь "Какой процент за переводы туда-то". И тут же получаешь ответ!
Нет уж, лучше я 5-10 минут (время реакции поддерки в текущем банке) подожду, но поговорю с человеком.
Archon
31.10.2018 15:22К сожалению, тенденции удешевления и аутсорсинга колл-центров приводят к тому, что живой оператор не умнее бота и разговаривает 10 фиксированными фразами с листочка на столе. В лучшем случае он может перевести на Галю, у которой есть второй листочек. В худшем — только извиниться и пожелать хорошего дня.
В самом же плохом случае кнопок для решения проблем нет не только у операторов, но и у реальных сотрудников в офисах. Когда они носят гордые бейджики с должностями руководителей, но по факту могут только посочувствовать, хочется биться головой об пол.
Barsuk
30.10.2018 18:41+7Ритуал вызова живого сотрудника таков, спросите у бота «как перейти в мтс с сохранением номера»
Тоже обращался к ним на эту почту и тоже не смог им потом ответить, такое же письмо приходило что нет поддержки по почте.
Dmitry_Dor
30.10.2018 19:58+9kudryavy
31.10.2018 07:31-1А где же, пунктуация?
molodoy_hacker
30.10.2018 20:54+1Пока уязвимость не эксплуатирована — это лишь теория. Поэтому у «пчелки» полет нормальный. Так что, пилите еще статейку, где будете перехватывать миллионы сессий. Вот тогда «пчелка» засуетится
trapwalker
30.10.2018 21:12-1Действительно. Тупизна ботов и неудобность голосового меню службы поддержки удручают. А пункт голосового меню выхода на живого оператора последние годы вообще убрали. Нет. не спрятали в дебрях, а просто убрали и зациклили тупые никчёмные варианты. Даже ожидание не помогает.
Однако выйти на человека всё же можно. Нужно громко ругаться, пока звучат реплики голосового меню. Видимо там у них детектор агрессивного тона стоит и сильно недовольного клиента они все же ставят в очередь к оператору.
Не знаю. может это имиф такой, но у меня стойкое ощущение, что чем громче орёшь и ругаешься на автоответчик, тем быстрее приходит оператор. Попробуйте=).tvr
31.10.2018 11:42Не надо громко орать и ругаться — это непродуктивно и плохо влияет на цвет кожи, а так же фраппирует окружающих.
Просто попробуйте позвонить в службу поддержки с номера другого опсоса или со стационарного телефона. Будете приятно удивлены — время ожидания сокращается в разы.trapwalker
31.10.2018 17:12Нужно провести эксперимент. Определённо.
tvr
31.10.2018 17:24Вот прямо сейчас ещё раз проверил.
Билайн — с городского (ростелекомовского номера) одна минута сорок секунд до ответа живого оператора.
С мобильного билайновского номера — две минуты только непроматываемого голосового меню, плюс постановка в очередь ожидания на минуту.
SergeyMax
30.10.2018 23:36Скоро автор узнает, что такое сниффер, и будет не только токены перехватывать, но и целые хэши! Что ни пакет, то новая уязвимость!
Beaglz
31.10.2018 15:00Лет 10 назад с удивлением обнаружил себя залогиненным в янд.почту коллеги по офису. Разные компы в одной локалке. Интересно, что за уязвимость была?
SergeyMax
31.10.2018 15:20Скорее всего это была уязвимость типа «дай-ка я у тебя в свою почту зайду»
Beaglz
31.10.2018 15:22Сотрудник из другого отдела, у него физического доступа не было.
SergeyMax
31.10.2018 15:32Если отбросить всё совершенно невозможное, тогда то, что останется, каким бы невероятным оно не было — оно и будет истиной (с)
Beaglz
31.10.2018 15:40+1Ничего невозможного. Это то время, когда через реф-ссылку в логах известного счетчика сайта можно было залогиниться в не менее известной соцсети.
LAG_LAGbI4
31.10.2018 08:01У билайна очень больше проблемы с коммуникацией. Мы от лица компании пытались акты сверок сделать в течении полугода, куда уж им до обработки уязвимостей.
OldGrumbler
31.10.2018 08:29Общение с ботом напомнило классику
“В ответ на ваш номер такой-то от такого-то сообщаем вашей телеграммы поняли колеса вы не получили самолет колесами потерпел аварию горами азербайджана Сидоров катапультирован понижен должности лишен наград колеса раскатаны местными жителями по аулам ждите сообщений”.
(с) Жванецкий, «Дурочка»
XanderBass
31.10.2018 09:55А сейчас почти всеми российскими компаниями усложняются процедуры обращения к технической поддержке. Попробуйте дозвониться до «Сбербанка», «Ростелекома», того же «Пчелайна», не зная секретных комбинаций цифр. Думаете, ноль нажмёте, и сразу же достучитесь? А вот чёрта с два! Теперь в большинстве случаев нажатие на «ноль» приводит к сообщению, что нажата неверная клавиша. Наши компании забыли, что такое клиентоориентированность. А вместе с этим и про качество услуг тоже забывать стали.
Ладно, не суть. По теме присоединюсь к вопросу: чем найденное опасно для рядового юзера? Ну гадит приложение в лог токенами, и что? Это же Ваши данные. Это практически то же самое, что упрекать браузер в возможности отображать в консоли отладки куки сайтов.Mmishak Автор
31.10.2018 10:52Да, я понимаю, что это не тянет на настоящую уязвимость, и что получить доступ к системным логам стороннему приложению весьма проблематично. Но осознание того, что информация о моем балансе, услугах, переписке с оператором и, что самое важное, детализация звонков будет сохранена в каких-то файлах, которые могут отправиться третьим лицам, заставляет насторожиться.
Плюс если к этой неосторожности добавится еще какая-нибудь (не подозревая о проблеме с первой), то в логах может появиться больше интересных вещей. Я согласен, что это лишь теория, но такое отношение со стороны разработчика мне кажется неприемлемым.XanderBass
31.10.2018 11:09Ну вот на этом месте мы и возвращаемся к тезису о том, что крупные компании всё чаще забивают на качество работы своих сервисов. В теории уязвимости-то нет. Но качество работы приложения оставляет желать лучшего.
kolyan222
31.10.2018 10:00Я полтора месяца доказывал Билайну, что одна из их вышек в сельской местности после сильной бури с грозой начала плохо работать (сигнал стал ощутимо слабее и начал рандомно периодически пропадать).
Меня каждый раз выслушивал оператор, говорил, что заявка на исправление проблемы успешно зарегистрирована и что бы я не переживал по этому поводу, в этот раз они точно разберутся. А потом ровно через неделю мне приходило смс о том, что моя заявка передана в центр планирования развития сетей. И так полтора месяца по кругу.
Только лишь через полтора месяца, вместо отправки мне очередного смс, мне позвонил инженер и сообщил, что да, они проверили и оказалось, что действительно была проблема с вышкой.
А теперь самое главное: И это всё при том, что до этой ситуации, уже был случай с этой же базовой станцией, когда она неделю просто не работала и я неделю доказывал оператору, что это у них проблема, а не у меня с телефоном что-то не так.
Так что во второй раз они уже должны были знать, как то, что базовая станция потенциально проблемна, так и то, что ко мне следует прислушаться на всякий случай и проверить информацию, но нет, пришлось полтора месяца доказывать, что проблема имеет место быть.losse_narmo
31.10.2018 10:12Вы хотя бы это доказали. Я с МТС так и не смог договориться и через 2 месяца просто забил на эти попытки. Решил, что если они за зиму ничего не поправят, то попробую последний вариант — «либо вы чините вышку, либо я иду к другому оператору».
cgnrat
31.10.2018 16:51+1Я думаю дело в том, что операторам связи валится огромное число жалоб формата «телефон плохо работает, сделайте что-нибудь» и наверняка многие из них снабжены псевдотехнической информацией о рельефе, бурях, соседях и инопланетянах, отфильтровать которую значительно проще по количеству жалоб на одну точку, но не по смыслу жалоб.
Поэтому я предполагаю, что действует алгоритм «проверить внепланово если жалоб много, иначе проверить по плану».
extempl
31.10.2018 17:29Так что во второй раз они уже должны были знать
Это, кстати, проблема "отстутствия памяти" и разных сотрудников. Я так где-то с пару лет общаюсь с техподдержкой пейпала. Вся комедия в том, что каждый день мне отвечает новый человек, и то если повезёт. Если нет — робо-ответ. Так что где-то к 50тому письму на слудующий день я начинал сообщение так: "Прежде чем отвечать мне автоматическим ответом или любым другим, перечитайте всё вышеописанное (и тут же прикреплял весь тред). И нет, это (обычная рекомендация) для меня не работает. И нет, этого я тоже делать не буду. А теперь ещё раз перечитайте и решите уже наконец мою проблему.".
Кстати, проблему я так и не решил. Причина та же — одни обещали одно, другие говорили другое, третьи открещиваются "это невозможно, можно только так". А вот если бы за первые пять сообщений они составили условный фоторобот проблемы, глядишь, шестой сотрудник решил бы проблему имея все карты на руках.
GrigoryPerepechko
31.10.2018 10:50Вы б сессию с разными действиями выложили, позаказывали услуги, попереводили деньги. Люди бы развили тему. Обсудили их подход к реализации REST API.
А читать жалобы на тех поддержку — ну такое.Mmishak Автор
31.10.2018 11:18Да, я учту в будущем. Подход в некоторых аспектах действительно странный… Например, там очень (ну очень) много запросов идет, чтобы получить локализованное словосочетание (вроде «Оплата услуг мобильной коммерции») для определенного языка. Думаю, из-за этого у них постоянно прогресс-бар в приложении маячит.
Вот примерxcod
31.10.2018 10:58в ГП адрес разрабов же инфо@билайн.ру
Mmishak Автор
31.10.2018 11:03Да, действительно, забыл туда заглянуть (правда не совсем понятно, кто именно за ним прячется)
Стоит также отметить что в самом приложении есть кнопка «Сообщить об ошибке» и она ведет на упомянутый в посте ответ@билайн.ру
ufok
31.10.2018 11:03По моему опыту, проблема с тем, чтобы пробиться к понимающим технические детали людям, есть почти у всех подобных компаний.
Например, в приложении Мой Tele2 (Россия) пароль в какой-то момент передавался по нешифрованному http. (Больше похоже было на недосмотр, остальные запросы были по https.) Я сообщил им через vk, сказали передадут нужным людям. Время прошло, ничего не сделали. Я написал об этом же в отзыве в App Store. Тут уже мне ответили, поблагодарили и вскоре пофиксили.
Еще я нашел дырку в приложении Мой Билайн (Казахстан). Там вместо того, чтобы использовать https, сделали свое «шифрование», при этом таким образом, что ключ для расшифровки передавался вместе с шифрованным сообщением! Я писал и оператору, и компании разработчику приложения, реакции просто никакой.
Lure_of_Chaos
31.10.2018 12:09А не пытались еще засудить за «неправомерный доступ»?
А ситуация полного игнора или отписок вида «это не баг, а фича!» — скорее правило, чем исключение, увы.
Максимум, на что можно рассчитывать, это то, что уязвимость закроют в следующем обновлении, через месяц-другой, втихую, даже без «спасибо!»
Gregary
31.10.2018 12:24-2Господи, расскажите кто-нибудь автору про режим разработчика в Google Chrome — для него откроется целый мир «уязвимостей»
Mmishak Автор
31.10.2018 12:53Побродив по сайту Билайна в режиме разработчика Google Chrome не обнаружил нигде в логах заботливо сохраненной информации о моих услугах и детализации звонков.
Gregary
31.10.2018 14:18В логах приложения она тоже вообще то не сохраняется
Mmishak Автор
31.10.2018 14:30Так то это системный logcat, и там я как раз и обнаружил, пройдясь по приложению, указанную информацию
Gregary
31.10.2018 14:38Лог ее показывает, но нигде не сохраняет если что. Точно так же в браузере вы можете посмотреть все свои запросы и ответы
Mmishak Автор
31.10.2018 15:11Вы, как разработчик, не можете гарантировать, что этот лог не будет прочитан и сохранен сторонним приложением (при наличии рута) или оболочкой вроде MIUI.
Heliki
31.10.2018 16:09Знаете, если у вас рут на телефоне, то там может работать все, что угодно, вплоть до mitm прокси. При наличии рута вы вообще ничего гарантировать не можете.
Mmishak Автор
31.10.2018 16:18В случае оболочки у нас нет рута, но информация третьим лицам попасть может (багрепорт, бекап и т.п.) Во всяком случае, повторюсь, не стоит оставлять дверь открытой, если у потенциального вора есть отмычка.
remal
31.10.2018 17:14Был клиентом Билайн более 10 лет. Этой весной закрыл с ними договор как на мобильную связь, так и на домашний интернет.
Чат бот и скрипт голосового меню достали жутко. Последней каплей стало то, что несмотря на жесткое «отпишите меня от *любой* рекламы», все равно прислали рекламу магазина смартфонов к 8 марта.
Самое забавное, что, когда начал перенос номера к другому оператору, мне позвонил какой-то менеджер, который чуть ли не со слезами упрашивал у них остаться и предлагал дать свой личный номер, чтобы я мог позвонить в случае проблем. Мое «ваша попытка сделать жизнь одного клиента лучше, вместо того, чтобы налаживать процессы внутри компании, только говорит о правильности моего решения уйти» до него не дошло.
Кроме того, раз 7 звонили в разные моменты с вопросом почему же ухожу. Т.е. они меня выслушивали, а в CRM ничего не записывали. Если у них вообще CRM есть…
Жалобу со слов звонившего сотрудники call центра, кстати, составить не могут. Это тоже доставляет.
При том, что качество услуг у них, имхо, — одно из самых высоких на рынке, клиентский сервис — отвратителен.
ЗЫ: Еще из забавных историй. Звоню в поддержку домашнего интернета. «Введите номер вашего договора». У меня его нет под рукой, да и дома не уверен, что найду. Пытаюсь нажимать и 0, и другие действия, но скрипт голосового меню либо повторяет запрос на номер договора, либо просто обрывает связь. В итоге, пришлось звонить в саппорт мобильной связи выносить 20 минут девушке мозг, чтобы она оставила для сотрудников домашнего интернета заявку на обратный звонок.achekalin
31.10.2018 17:46-1Жалобу со слов звонившего сотрудники call центра, кстати, составить не могут. Это тоже доставляет.
Всякий раз именно что составляют. Без проблем. Правда, на бизнес-тарифе.
amarao
31.10.2018 17:43+1Типа так:
GET /support HTTP/1.1 Host: beeline HTTP/1.1 302 Found Location: /support Обратитесь в службу поддержки.
i0000
31.10.2018 17:48Беда нашего времени — максимальная обфускация любых форм службы поддержки. Будь я депутатом, уголовную ответственность за такую обфускацию.
Началось все с музыки под «все ваши разговоры записываются», затем и веб-формы обратной связи стали все более и более запутано-перепутано предлагать хоть какой-то диалог с живым сотрудником, заменив это на бесконечные FAQ, среди которых диалог — фиг найдешь, затем к ним добавились недремлющие всплывающие окна «консультантов» — на деле оказывающиеся роботами.
Раздражает жутко, как и всякий фейк и ложная надежда.
Уж лучше честно — поддержка недоступна, и с ностальгией вспоминать дозвон в советские инстанции по телефонному номеру. Там уж если пробьешься среди гудков «занято» и не сбросят, то хоть значит, попал куда надо
зы) вчера «скорую» пришлось вызывать — процесс производился с 4-мя (!) редиректами, каждому из которых надо было объяснять проблему и называть адрес по-новой. Прям как в службе поддержки евросети, и музыка, и «разговоры записываются». Последним звеном оказалась хамоватая тетка, в раздраженно-советской манере после оглашения всех деталей ответившая «ждите» и раздраженно повесившая трубку
achekalin
31.10.2018 17:54+1Приложение жгучее: убрали поведение, которое лично мне очень нравилось (было в нём давно), а именно оно запоминало логин (при запуске программы в поле он уже был введен), но вводил пароль и нажимал кнопку «войти» я сам. При этом был вариант не разлогиниваться — точнее, чтобы меня узнавали по номеру симки, если я работал через мобильный интернет, но было предупреждение (очень логичное), что, в случае раздачи интернета с этой же симки через wifi с телефона или роутера, любой подключенный к роутеру сможет как бы от моего имени (от имени моей симки) заказывать мне услуги в личном кабинете.
Сейчас же, при работе через сотовую сеть, осталось два варианта логина: либо кнопка «войти» (и меня авторизует без пароля, просто по номеру телефона), либо кнопка «войти под другим номером», которая требует вводя и номера, и пароля руками.
Обратной связи с разработкой (да и вообще обратной связи вида «у вас это сделано плохо») в Би особо нет, можно только написать письмо на эл. ящик, и его «рассмотрят».
ganzmavag
31.10.2018 18:32Это вообще самое странное приложение из тех, которыми приходится пользоваться. Оно тратит дикое время на простой запрос баланса. Я не понимаю как так могли вообще сделать, при условии что на сайте этот же баланс с того же домена грузится моментально.
Acuna
31.10.2018 23:47Наверное потому-что их сайт писался еще во времена, когда JSON и REST API еще не были особо распространены, поэтому существовал только сайт (возможно и сейчас ситуация ангалогична), который все сторонние приложения просто парсят, а это, очевидно, опускает производительность до плинтуса. У Сбера возможно та же тема, ибо как иначе еще объяснить, что их приложение вообще еле двигается, хотя для этого нет никаких предпосылок. Ну либо студентов наняли, которые написали им приложение за так, и в этот говнокод никто даже суваться не хочет, работает и то хорошо. Это результат того, когда на первое место становится забота о сверприбылях, а не удобстве для юзеров. В случае Сбера как государственной компании — это 100%, ну а Билайн — это российская компания, что сейчас, увы, является аналогом государственной(
Pensioner799
01.11.2018 10:21Ахахах Смешно получилось! Они видимо как и их боты не понимали что происходит ))) Какой хозяин такая и собака, вроде так говорят? Вот конечно удивило что именно приходит открытый ответ и еще форматированный?
Gorily
На уязвимость конечно тянет слабо: токен ваш, приложение на вашем устройстве и логи ваши. Если трафик зашифрован, то никто не страдает. Практически у любого приложения можно также посмотреть всю активность используя тот же Fiddler со своим сертификатом.
Но история как вы пытались уязвимость донести… это нечто! В случае реальной уязвимости гораздо проще было бы её продать :)
Есть один вариант донести уязвимость до практически любой компании максимально быстро — twitter. Когда актуальный вопрос публикуется в открытом виде, то реакция практически мгновенная.
netricks
Вероятно, хабр в этом плане тоже неплох.
Mmishak Автор
Да, я согласен, что прямой и опасной уязвимостью это не является, но обнаружение таких подробностей в логах релизной сборки для меня стало большой неожиданностью.
Gorily
Неаккуратненько, да.
Раньше у 2ГИС было приложение которое определяло входящие номера, оно в логи писало все входящие звонки и какие-то сопроводительные данные. Мечте криминалиста просто :)
Altren
Другие установленные приложения имеют доступ к logcat, а значит разработчик мобильного приложения может прочесть этот лог и переслать себе.
darkdaskin
Начиная с какого-то Андроида доступ к логам требует рута.
IGR2014
Ну так себе защита, учитывая сколько людей рутят свои смартфоны ради «красивых плюшек» или большего контроля над системой
turbanoff
Но если у приложения есть root доступ, то оно и так может прослушать трафик/память всех приложений.
Mmishak Автор
Да, по сути это так, но это не означает, что нужно оставлять дверь открытой, если у вора есть отмычка
kengur8
В твиттере к тебе придет веселый бодрый СММщик попросит написать твои данные что бы они на своей стороне проверили «подключеная ли данная услуга» а потом скажет что ничего не нашли и хорошего дня. Часть услуг у них просто сломана сейчас, а обращения в поддержку ничем не заканчиваются.
Acuna
Хабр в таких ситуациях лучше всего, компании реально подключают админов к проблемам, которые тянутся годами, но при заявлении о которых ТП любезно благодарит и заявляет, что лучшие мировые специалисты уже работают над ней не покладая рук. Собссно на этом все и заканчивается, но стоит настрочить статью на Хабре или написать о ней в комментах под статьей в корпоративном блоге компании, проблема решается буквально за сутки (и я не утрирую). Сейчас с Шопотамом бодаюсь, у них слетает авторизация каждый раз при заходе, однажды слетела прямо при заполнении декларации. Обычно в таких случаях я начинаю с общения с ТП, на третье обращение с вопросом из разряда «Ну что там, как успехи?», девушка заявила, что эта проблема не так просто решается, но наши специалисты над ней работают. Надеюсь что это на самом деле так, поэтому жду, но через пол годика подумываю накатать по этой теме статью о том, что проблема со слетающей авторизацией на сайте «не так просто решается». С REG.RU тоже помнится, не сохранялись данные профилей для регистрации, один коммент — и проблема решилась буквально за неделю, хотя с ТП я переписывался чуть ли не полгода. В таких ситуациях мне всегда одно интересно: неужели никто другой не обращался до меня с этой проблемой?