Эта короткая история состоит из двух частей:


  1. Обнаружение уязвимости, появившейся, скорее всего, из-за невнимательности разработчиков;
  2. Сообщение о находке в Билайн.

Но этого поста не появилось бы, если бы все было так просто.


Часть 1. Что произошло?


Вчера, отлаживая свое приложение в Android Studio, я открыл Logcat, и увидел что там промелькнул "Мой билайн". Ну и что? У меня действительно установлено это приложение. Многие приложения что-то пишут в лог.


Но. Это оказался лог HTTP запроса и ответа. Опять же, это не так страшно. Ссылка запроса к API, сообщение об успешном ответе.


Но. В логе помимо ссылки оказались также хедеры и тело запроса, в т.ч. json содержимое (заботливо отформатированное) и token сессии.


Дальше можно просто сделать себе попкорн, отфильтроваться по ключевому слову "beeline" и наблюдать за сетевой жизнью приложения.


Часть 2. Бьём тревогу.


Разумеется, так это оставлять нельзя. Не раздумывая, иду на сайт упомянутой выше компании, пробегаю глазами по диагонали и не нахожу ничего лучше предложения начать чат с поддержкой прямо на сайте. Разумеется, натыкаюсь на фейс-контроль в виде чат-бота.


Далее последовал следующий диалог:


Диалог с ботом

Бот: Благодарим за обращение в наш чат. Задайте вопрос и наши специалисты помогут найти решение.


Я: Добрый день, случайно обнаружил в вашем android-приложении уязвимость, куда я могу о ней сообщить?


Бот: iMessage и FaceTime — технологии, разработанные компанией Apple, предоставляемые за отдельную плату. Для использования необходимо интернет-соединение. iMessage – позволяет отправить текстовое сообщение другому пользователю iMessage. Отключение сервиса возможно в настройках Вашего устройства: "Настройки"- "Сообщения" — "iMessage" — отключить. FaceTime — программа, с помощью которой Вы можете совершать видео- и аудиозвонки между устройствами Apple. Отключить эту опцию также можно в настройках Вашего аппарата: "Настройки"- "FaceTime" — отключить. Если у Вас по-прежнему остались вопросы о возможностях в рамках данного сервиса, то Вы можете обратиться в тех. поддержку Apple IPhone: 8-800-555-67-34 (звонок бесплатный).


Я: Что?


Бот: Уточните, пожалуйста, что именно Вас интересует.


Я: Случайно обнаружил в вашем android-приложении уязвимость, куда я могу о ней сообщить?


Бот: iMessage и FaceTime — технологии, разработанные компанией Apple, предоставляемые за отдельную плату. Для использования необходимо интернет-соединение. iMessage – позволяет отправить текстовое сообщение другому пользователю iMessage. Отключение сервиса возможно в настройках Вашего устройства: "Настройки"- "Сообщения" — "iMessage" — отключить. FaceTime — программа, с помощью которой Вы можете совершать видео- и аудиозвонки между устройствами Apple. Отключить эту опцию также можно в настройках Вашего аппарата: "Настройки"- "FaceTime" — отключить. Если у Вас по-прежнему остались вопросы о возможностях в рамках данного сервиса, то Вы можете обратиться в тех. поддержку Apple IPhone: 8-800-555-67-34 (звонок бесплатный).


Я: что происходит?


Бот: Переформулируйте, пожалуйста, Ваш вопрос.


Я: Случайно обнаружил в вашем android-приложении уязвимость, куда я могу о ней сообщить?


Бот: iMessage и FaceTime — технологии, разработанные компанией Apple, предоставляемые за отдельную плату. Для использования необходимо интернет-соединение. iMessage – позволяет отправить текстовое сообщение другому пользователю iMessage. Отключение сервиса возможно в настройках Вашего устройства: "Настройки"- "Сообщения" — "iMessage" — отключить. FaceTime — программа, с помощью которой Вы можете совершать видео- и аудиозвонки между устройствами Apple. Отключить эту опцию также можно в настройках Вашего аппарата: "Настройки"- "FaceTime" — отключить. Если у Вас по-прежнему остались вопросы о возможностях в рамках данного сервиса, то Вы можете обратиться в тех. поддержку Apple IPhone: 8-800-555-67-34 (звонок бесплатный).


Совершенно не представляю из-за какого ключевого слова бота так передергивало. Мне быстро наскучил этот разговор с автоответчиком. Попробовал другую комбинацию и, о чудо, на меня снова вывалили справочную информацию, но в конце все-таки предложили поговорить с реальным человеком. Ура, появился некий Олег, изучил мой диалог с роботом (вероятно вздохнул с облегчением, что роботы его пока не заменят) и посоветовал мне описать мою находку со скриншотами на почту otvet@beeline.ru (ее упоминания на сайте я не нашел, может плохо искал). Затем Олег поблагодарил меня за помощь и ушел выручать других роботов.


Я, обрадованный прогрессу, написал на указанную почту следующее:


Мое письмо

Добрый день


Случайно обнаружил, что android-приложение «Мой билайн» сливает в лог все запросы к API вместе с токенами и json содержимым. По-моему, это уязвимость.


С уважением,
Козлов Михаил


Довольный собой, сделал себе кофе и продолжил работать. Сегодня пришел ответ.


Ответ

Здравствуйте, Михаил!


Не совсем понятно, что именно у Вас не работает. Более подробно опишите Вашу проблему.


Спасибо, что пользуетесь услугами «Билайн».


С наилучшими пожеланиями,
Некрасов Вячеслав,


Служба поддержки Клиентов «Билайн».


После facepalm-ритуала, удержавшить от написания сообщения о том, что не работает не у меня, а у них: чат-бот, служба поддержки и разработчики приложения, я более подробно описал проблему.


На этот раз долго ждать не пришлось, ответ пришел через пять минут.


Вот он

Уважаемый клиент! Мы стремимся идти в ногу со временем и оказывать сервис в актуальных каналах коммуникации. Нам важно, чтобы Вы получали обратную связь от нас как можно скорее. Поддержка через e-mail недоступна. Для того, чтобы получить моментальный ответ на любой вопрос, приглашаем в чат со специалистом на сайте: https://beeline.ru/customers/pomosh/ или в Мобильном приложении: https://beeline.ru/dl! Обращаем внимание, что это письмо сформировано автоматически и ответ на него не требуется. Ждем Вас в чате на сайте или в мобильном приложении. Ваш Билайн!


Комментарии (84)


  1. Gorily
    30.10.2018 17:41
    +5

    На уязвимость конечно тянет слабо: токен ваш, приложение на вашем устройстве и логи ваши. Если трафик зашифрован, то никто не страдает. Практически у любого приложения можно также посмотреть всю активность используя тот же Fiddler со своим сертификатом.
    Но история как вы пытались уязвимость донести… это нечто! В случае реальной уязвимости гораздо проще было бы её продать :)
    Есть один вариант донести уязвимость до практически любой компании максимально быстро — twitter. Когда актуальный вопрос публикуется в открытом виде, то реакция практически мгновенная.


    1. netricks
      30.10.2018 17:45
      +1

      Вероятно, хабр в этом плане тоже неплох.


    1. Mmishak Автор
      30.10.2018 17:51

      Да, я согласен, что прямой и опасной уязвимостью это не является, но обнаружение таких подробностей в логах релизной сборки для меня стало большой неожиданностью.


      1. Gorily
        30.10.2018 17:57

        Неаккуратненько, да.
        Раньше у 2ГИС было приложение которое определяло входящие номера, оно в логи писало все входящие звонки и какие-то сопроводительные данные. Мечте криминалиста просто :)


    1. Altren
      30.10.2018 17:52
      +2

      Другие установленные приложения имеют доступ к logcat, а значит разработчик мобильного приложения может прочесть этот лог и переслать себе.


      1. darkdaskin
        30.10.2018 22:36
        +2

        Начиная с какого-то Андроида доступ к логам требует рута.


        1. IGR2014
          31.10.2018 13:38
          +1

          Ну так себе защита, учитывая сколько людей рутят свои смартфоны ради «красивых плюшек» или большего контроля над системой


          1. turbanoff
            31.10.2018 13:50

            Но если у приложения есть root доступ, то оно и так может прослушать трафик/память всех приложений.


            1. Mmishak Автор
              31.10.2018 13:59
              +1

              Да, по сути это так, но это не означает, что нужно оставлять дверь открытой, если у вора есть отмычка


    1. kengur8
      31.10.2018 12:01

      В твиттере к тебе придет веселый бодрый СММщик попросит написать твои данные что бы они на своей стороне проверили «подключеная ли данная услуга» а потом скажет что ничего не нашли и хорошего дня. Часть услуг у них просто сломана сейчас, а обращения в поддержку ничем не заканчиваются.


    1. Acuna
      31.10.2018 18:43

      Хабр в таких ситуациях лучше всего, компании реально подключают админов к проблемам, которые тянутся годами, но при заявлении о которых ТП любезно благодарит и заявляет, что лучшие мировые специалисты уже работают над ней не покладая рук. Собссно на этом все и заканчивается, но стоит настрочить статью на Хабре или написать о ней в комментах под статьей в корпоративном блоге компании, проблема решается буквально за сутки (и я не утрирую). Сейчас с Шопотамом бодаюсь, у них слетает авторизация каждый раз при заходе, однажды слетела прямо при заполнении декларации. Обычно в таких случаях я начинаю с общения с ТП, на третье обращение с вопросом из разряда «Ну что там, как успехи?», девушка заявила, что эта проблема не так просто решается, но наши специалисты над ней работают. Надеюсь что это на самом деле так, поэтому жду, но через пол годика подумываю накатать по этой теме статью о том, что проблема со слетающей авторизацией на сайте «не так просто решается». С REG.RU тоже помнится, не сохранялись данные профилей для регистрации, один коммент — и проблема решилась буквально за неделю, хотя с ТП я переписывался чуть ли не полгода. В таких ситуациях мне всегда одно интересно: неужели никто другой не обращался до меня с этой проблемой?


  1. tvr
    30.10.2018 17:46
    +10

    К середине истории автор настолько устал от общения с ботами, что решил всё бросить на полпути, в т.ч. и статью.


    1. Mmishak Автор
      30.10.2018 17:55
      +1

      Если хотите, можете рассматривать текст под последним спойлером, как goto к диалогу с ботом :)


      1. extempl
        31.10.2018 17:17

        Я бы рассматривал это как goto к разговору с ещё одним сотрудником ТП, а вот что он ответит — уже интересно.


  1. Piratnewtime
    30.10.2018 18:04
    +1

    Сам имею опыт общения с «Менеджером поддержки» в лице тупейшего на нынешний день бота компании Билайн. Общаться пытался через приложение и так не нашел комбинацию как выйти на диалог с реальным человеком. Хотя и телефонный разговор с реальным менеджером не лучше, чем с ботом.

    А токен можно использовать для полноценного доступа к апишке без необходимости получать привилегированные права в системе. А это наверное скрывает в себе много интересных фишек, таких как подписки на платные сервисы)


    1. Forwolk
      30.10.2018 20:38

      Я когда хочу связаться с человеком, несколько раз подряд боту скармливаю слово «оператор» и когда уже реальный человек мне отвечает, излагаю суть проблемы.


      1. lonelysuch
        30.10.2018 23:42

        Я всегда пишу: «Дай оператора, ботяра» — помогает.


        1. shide
          31.10.2018 19:07

          «Позови человека» тоже работает)


    1. and7ey
      30.10.2018 21:34
      +2

      Увы, у Билайна и МТС сотрудники службы поддержки слабо отличаются от ботов


      1. tvr
        31.10.2018 11:38

        Да и обсуждаемое приложение писал похоже не совсем человек.


    1. kloppspb
      31.10.2018 00:34

      Мне помогает такой хак: выйти на саппорт домашнего интернета (имеется, никаких нареканий, кстати, что не скажешь о телефонной связи в наших бубенях). Там нормальные люди, и они дальше на живых переключают :)


  1. pyrk2142
    30.10.2018 18:17
    +4

    Вспоминаю свои попытки достучаться до мобильных операторов, это было очень больно.

    Небольшая предыстория: нашел у операторов большой четверки разные уязвимости (некоторые — достаточно серьезные, позволяют взламывать аккаунты на сервисах с СМС авторизацией (не SS7 проблемы, если что :) ). На черный рынок продавать очень не хотелось, поэтому стал пытаться написать операторам.

    Теле2: дали адрес почты службы безопасности, сказали, что это единственный контакт. Полгода пытаюсь получить хоть какой-то ответ на почту, нет ничего. Обычная служба поддержки говорит, что это единственный контакт и «Надеемся, что служба безопасности ответит вам»

    МТС: обещали передать информацию разработчикам, я отправил пару средних по опасности багов и добавил, что если им интересны более серьезные уязвимости, то я буду ждать писем от специалистов компании, чтобы общаться напрямую. Исчезли, на дальнейшие сообщения не реагировали.

    Билайн: сказали, что служба безопасности не общается с клиентами, предложили передать данные (практика показывает, что в такой ситуации не будет никакого ответа и дальнейшего взаимодействия). К счастью, нашел адрес службы разбора конфликтных ситуаций, там предложили сертификат белого хакера, который ценится в профессиональном сообществе. Это было последнее письмо от них, больше ответов не было.

    Мегафон: сначала служба поддержки предложила написать бумажное письмо (!) в Москву, но потом я нашел сотрудника компании, который согласился передать информацию нужным отделам. Взаимодействие продолжается, пока это единственная компания, которая что-то делает.


    1. ReinRaus
      30.10.2018 18:30
      +9

      Не переживайте. О Вас вспомнят, когда кто-то другой найдет эту же уязвимость и её успешно проэксплуатирует с заметными последствиями. Тогда Вы станете первым подозреваемым.


    1. lonelysuch
      30.10.2018 23:45

      Билайн: сказали, что служба безопасности не общается с клиентами

      Очень даже общается, когда сообщаешь о мошенничестве. Но, видимо, это единственное исключение из правил.


  1. UksusoFF
    30.10.2018 18:27
    +1

    Как-то раз меня убеждали сменить банк и среди аргументов было:


    Смотри тут в чатике даже не нужно ждать ответа специалиста в большинстве случаев! Ты просто пишешь "Какой процент за переводы туда-то". И тут же получаешь ответ!

    Нет уж, лучше я 5-10 минут (время реакции поддерки в текущем банке) подожду, но поговорю с человеком.


    1. Archon
      31.10.2018 15:22

      К сожалению, тенденции удешевления и аутсорсинга колл-центров приводят к тому, что живой оператор не умнее бота и разговаривает 10 фиксированными фразами с листочка на столе. В лучшем случае он может перевести на Галю, у которой есть второй листочек. В худшем — только извиниться и пожелать хорошего дня.

      В самом же плохом случае кнопок для решения проблем нет не только у операторов, но и у реальных сотрудников в офисах. Когда они носят гордые бейджики с должностями руководителей, но по факту могут только посочувствовать, хочется биться головой об пол.


  1. Barsuk
    30.10.2018 18:41
    +7

    Ритуал вызова живого сотрудника таков, спросите у бота «как перейти в мтс с сохранением номера»
    Тоже обращался к ним на эту почту и тоже не смог им потом ответить, такое же письмо приходило что нет поддержки по почте.


    1. Forwolk
      30.10.2018 20:47
      +2

      Ритуал работает) Ответили моментально


    1. Serenevenkiy
      31.10.2018 08:46

      Работает! Смекалочка!


  1. denis-19
    30.10.2018 19:13

    Два варианта:
    — удалить приложение,
    — устроится программистов в пчелайн и исправить изнутри проблему.

    А с их бот-стенами и е-мельницами биться… нужно иметь много времени и желания.


    1. IGR2014
      31.10.2018 13:42

      Вариант номер два для м`сье, любящих извращения?)


  1. Dmitry_Dor
    30.10.2018 19:58
    +9

    image


    1. kudryavy
      31.10.2018 07:31
      -1

      А где же, пунктуация?


      1. Squoworode
        31.10.2018 09:58
        +1

        А вот же, она!


      1. Dmitry_Dor
        31.10.2018 18:28
        +1

        А где же, пунктуация?
        Ответ через рекурсию
        image


  1. molodoy_hacker
    30.10.2018 20:54
    +1

    Пока уязвимость не эксплуатирована — это лишь теория. Поэтому у «пчелки» полет нормальный. Так что, пилите еще статейку, где будете перехватывать миллионы сессий. Вот тогда «пчелка» засуетится


  1. trapwalker
    30.10.2018 21:12
    -1

    Действительно. Тупизна ботов и неудобность голосового меню службы поддержки удручают. А пункт голосового меню выхода на живого оператора последние годы вообще убрали. Нет. не спрятали в дебрях, а просто убрали и зациклили тупые никчёмные варианты. Даже ожидание не помогает.
    Однако выйти на человека всё же можно. Нужно громко ругаться, пока звучат реплики голосового меню. Видимо там у них детектор агрессивного тона стоит и сильно недовольного клиента они все же ставят в очередь к оператору.
    Не знаю. может это имиф такой, но у меня стойкое ощущение, что чем громче орёшь и ругаешься на автоответчик, тем быстрее приходит оператор. Попробуйте=).


    1. tvr
      31.10.2018 11:42

      Не надо громко орать и ругаться — это непродуктивно и плохо влияет на цвет кожи, а так же фраппирует окружающих.
      Просто попробуйте позвонить в службу поддержки с номера другого опсоса или со стационарного телефона. Будете приятно удивлены — время ожидания сокращается в разы.


      1. trapwalker
        31.10.2018 17:12

        Нужно провести эксперимент. Определённо.


        1. tvr
          31.10.2018 17:24

          Вот прямо сейчас ещё раз проверил.
          Билайн — с городского (ростелекомовского номера) одна минута сорок секунд до ответа живого оператора.
          С мобильного билайновского номера — две минуты только непроматываемого голосового меню, плюс постановка в очередь ожидания на минуту.


  1. SergeyMax
    30.10.2018 23:36

    Скоро автор узнает, что такое сниффер, и будет не только токены перехватывать, но и целые хэши! Что ни пакет, то новая уязвимость!


    1. Beaglz
      31.10.2018 15:00

      Лет 10 назад с удивлением обнаружил себя залогиненным в янд.почту коллеги по офису. Разные компы в одной локалке. Интересно, что за уязвимость была?


      1. SergeyMax
        31.10.2018 15:20

        Скорее всего это была уязвимость типа «дай-ка я у тебя в свою почту зайду»


        1. Beaglz
          31.10.2018 15:22

          Сотрудник из другого отдела, у него физического доступа не было.


          1. SergeyMax
            31.10.2018 15:32

            Если отбросить всё совершенно невозможное, тогда то, что останется, каким бы невероятным оно не было — оно и будет истиной (с)


            1. Beaglz
              31.10.2018 15:40
              +1

              Ничего невозможного. Это то время, когда через реф-ссылку в логах известного счетчика сайта можно было залогиниться в не менее известной соцсети.


  1. LAG_LAGbI4
    31.10.2018 08:01

    У билайна очень больше проблемы с коммуникацией. Мы от лица компании пытались акты сверок сделать в течении полугода, куда уж им до обработки уязвимостей.


  1. OldGrumbler
    31.10.2018 08:29

    Общение с ботом напомнило классику

    “В ответ на ваш номер такой-то от такого-то сообщаем вашей телеграммы поняли колеса вы не получили самолет колесами потерпел аварию горами азербайджана Сидоров катапультирован понижен должности лишен наград колеса раскатаны местными жителями по аулам ждите сообщений”.

    (с) Жванецкий, «Дурочка»


  1. XanderBass
    31.10.2018 09:55

    А сейчас почти всеми российскими компаниями усложняются процедуры обращения к технической поддержке. Попробуйте дозвониться до «Сбербанка», «Ростелекома», того же «Пчелайна», не зная секретных комбинаций цифр. Думаете, ноль нажмёте, и сразу же достучитесь? А вот чёрта с два! Теперь в большинстве случаев нажатие на «ноль» приводит к сообщению, что нажата неверная клавиша. Наши компании забыли, что такое клиентоориентированность. А вместе с этим и про качество услуг тоже забывать стали.

    Ладно, не суть. По теме присоединюсь к вопросу: чем найденное опасно для рядового юзера? Ну гадит приложение в лог токенами, и что? Это же Ваши данные. Это практически то же самое, что упрекать браузер в возможности отображать в консоли отладки куки сайтов.


    1. Mmishak Автор
      31.10.2018 10:52

      Да, я понимаю, что это не тянет на настоящую уязвимость, и что получить доступ к системным логам стороннему приложению весьма проблематично. Но осознание того, что информация о моем балансе, услугах, переписке с оператором и, что самое важное, детализация звонков будет сохранена в каких-то файлах, которые могут отправиться третьим лицам, заставляет насторожиться.

      Плюс если к этой неосторожности добавится еще какая-нибудь (не подозревая о проблеме с первой), то в логах может появиться больше интересных вещей. Я согласен, что это лишь теория, но такое отношение со стороны разработчика мне кажется неприемлемым.


      1. XanderBass
        31.10.2018 11:09

        Ну вот на этом месте мы и возвращаемся к тезису о том, что крупные компании всё чаще забивают на качество работы своих сервисов. В теории уязвимости-то нет. Но качество работы приложения оставляет желать лучшего.


  1. kolyan222
    31.10.2018 10:00

    Я полтора месяца доказывал Билайну, что одна из их вышек в сельской местности после сильной бури с грозой начала плохо работать (сигнал стал ощутимо слабее и начал рандомно периодически пропадать).
    Меня каждый раз выслушивал оператор, говорил, что заявка на исправление проблемы успешно зарегистрирована и что бы я не переживал по этому поводу, в этот раз они точно разберутся. А потом ровно через неделю мне приходило смс о том, что моя заявка передана в центр планирования развития сетей. И так полтора месяца по кругу.
    Только лишь через полтора месяца, вместо отправки мне очередного смс, мне позвонил инженер и сообщил, что да, они проверили и оказалось, что действительно была проблема с вышкой.

    А теперь самое главное: И это всё при том, что до этой ситуации, уже был случай с этой же базовой станцией, когда она неделю просто не работала и я неделю доказывал оператору, что это у них проблема, а не у меня с телефоном что-то не так.

    Так что во второй раз они уже должны были знать, как то, что базовая станция потенциально проблемна, так и то, что ко мне следует прислушаться на всякий случай и проверить информацию, но нет, пришлось полтора месяца доказывать, что проблема имеет место быть.


    1. losse_narmo
      31.10.2018 10:12

      Вы хотя бы это доказали. Я с МТС так и не смог договориться и через 2 месяца просто забил на эти попытки. Решил, что если они за зиму ничего не поправят, то попробую последний вариант — «либо вы чините вышку, либо я иду к другому оператору».


    1. cgnrat
      31.10.2018 16:51
      +1

      Я думаю дело в том, что операторам связи валится огромное число жалоб формата «телефон плохо работает, сделайте что-нибудь» и наверняка многие из них снабжены псевдотехнической информацией о рельефе, бурях, соседях и инопланетянах, отфильтровать которую значительно проще по количеству жалоб на одну точку, но не по смыслу жалоб.
      Поэтому я предполагаю, что действует алгоритм «проверить внепланово если жалоб много, иначе проверить по плану».


    1. extempl
      31.10.2018 17:29

      Так что во второй раз они уже должны были знать

      Это, кстати, проблема "отстутствия памяти" и разных сотрудников. Я так где-то с пару лет общаюсь с техподдержкой пейпала. Вся комедия в том, что каждый день мне отвечает новый человек, и то если повезёт. Если нет — робо-ответ. Так что где-то к 50тому письму на слудующий день я начинал сообщение так: "Прежде чем отвечать мне автоматическим ответом или любым другим, перечитайте всё вышеописанное (и тут же прикреплял весь тред). И нет, это (обычная рекомендация) для меня не работает. И нет, этого я тоже делать не буду. А теперь ещё раз перечитайте и решите уже наконец мою проблему.".
      Кстати, проблему я так и не решил. Причина та же — одни обещали одно, другие говорили другое, третьи открещиваются "это невозможно, можно только так". А вот если бы за первые пять сообщений они составили условный фоторобот проблемы, глядишь, шестой сотрудник решил бы проблему имея все карты на руках.


  1. GrigoryPerepechko
    31.10.2018 10:50

    Вы б сессию с разными действиями выложили, позаказывали услуги, попереводили деньги. Люди бы развили тему. Обсудили их подход к реализации REST API.

    А читать жалобы на тех поддержку — ну такое.


    1. Mmishak Автор
      31.10.2018 11:18

      Да, я учту в будущем. Подход в некоторых аспектах действительно странный… Например, там очень (ну очень) много запросов идет, чтобы получить локализованное словосочетание (вроде «Оплата услуг мобильной коммерции») для определенного языка. Думаю, из-за этого у них постоянно прогресс-бар в приложении маячит.

      Вот пример


  1. xcod
    31.10.2018 10:58

    в ГП адрес разрабов же инфо@билайн.ру


    1. Mmishak Автор
      31.10.2018 11:03

      Да, действительно, забыл туда заглянуть (правда не совсем понятно, кто именно за ним прячется)

      Стоит также отметить что в самом приложении есть кнопка «Сообщить об ошибке» и она ведет на упомянутый в посте ответ@билайн.ру


  1. ufok
    31.10.2018 11:03

    По моему опыту, проблема с тем, чтобы пробиться к понимающим технические детали людям, есть почти у всех подобных компаний.
    Например, в приложении Мой Tele2 (Россия) пароль в какой-то момент передавался по нешифрованному http. (Больше похоже было на недосмотр, остальные запросы были по https.) Я сообщил им через vk, сказали передадут нужным людям. Время прошло, ничего не сделали. Я написал об этом же в отзыве в App Store. Тут уже мне ответили, поблагодарили и вскоре пофиксили.
    Еще я нашел дырку в приложении Мой Билайн (Казахстан). Там вместо того, чтобы использовать https, сделали свое «шифрование», при этом таким образом, что ключ для расшифровки передавался вместе с шифрованным сообщением! Я писал и оператору, и компании разработчику приложения, реакции просто никакой.


  1. Lure_of_Chaos
    31.10.2018 12:09

    А не пытались еще засудить за «неправомерный доступ»?
    А ситуация полного игнора или отписок вида «это не баг, а фича!» — скорее правило, чем исключение, увы.
    Максимум, на что можно рассчитывать, это то, что уязвимость закроют в следующем обновлении, через месяц-другой, втихую, даже без «спасибо!»


    1. Mmishak Автор
      31.10.2018 12:17

      В твиттере попросили скинуть в директ подробную информацию и, видимо, «создали заявку»


      1. Kelv13
        31.10.2018 17:25
        +2

        Вообще, сегодня в твиттер и фейсбук писать намного продуктивнее, чем в техподдержку. А если с матом, то еще продуктивнее — коллеги проверяли.


  1. Gregary
    31.10.2018 12:24
    -2

    Господи, расскажите кто-нибудь автору про режим разработчика в Google Chrome — для него откроется целый мир «уязвимостей»


    1. Mmishak Автор
      31.10.2018 12:53

      Побродив по сайту Билайна в режиме разработчика Google Chrome не обнаружил нигде в логах заботливо сохраненной информации о моих услугах и детализации звонков.


      1. Gregary
        31.10.2018 14:18

        В логах приложения она тоже вообще то не сохраняется


        1. Mmishak Автор
          31.10.2018 14:30

          Так то это системный logcat, и там я как раз и обнаружил, пройдясь по приложению, указанную информацию


          1. Gregary
            31.10.2018 14:38

            Лог ее показывает, но нигде не сохраняет если что. Точно так же в браузере вы можете посмотреть все свои запросы и ответы


            1. Mmishak Автор
              31.10.2018 15:11

              Вы, как разработчик, не можете гарантировать, что этот лог не будет прочитан и сохранен сторонним приложением (при наличии рута) или оболочкой вроде MIUI.


              1. Heliki
                31.10.2018 16:09

                Знаете, если у вас рут на телефоне, то там может работать все, что угодно, вплоть до mitm прокси. При наличии рута вы вообще ничего гарантировать не можете.


                1. Mmishak Автор
                  31.10.2018 16:18

                  В случае оболочки у нас нет рута, но информация третьим лицам попасть может (багрепорт, бекап и т.п.) Во всяком случае, повторюсь, не стоит оставлять дверь открытой, если у потенциального вора есть отмычка.


  1. UnDelete
    31.10.2018 16:28

    Прямо под статьей блок с вакансиями и одна из первых "Android разработчик в ВымпелКом (Билайн)". Может стоит записаться на собеседование и сообщить о баге?)


    1. ninJo
      31.10.2018 17:10

      Может даже кого-то уволили после выхода статьи


  1. remal
    31.10.2018 17:14

    Был клиентом Билайн более 10 лет. Этой весной закрыл с ними договор как на мобильную связь, так и на домашний интернет.

    Чат бот и скрипт голосового меню достали жутко. Последней каплей стало то, что несмотря на жесткое «отпишите меня от *любой* рекламы», все равно прислали рекламу магазина смартфонов к 8 марта.

    Самое забавное, что, когда начал перенос номера к другому оператору, мне позвонил какой-то менеджер, который чуть ли не со слезами упрашивал у них остаться и предлагал дать свой личный номер, чтобы я мог позвонить в случае проблем. Мое «ваша попытка сделать жизнь одного клиента лучше, вместо того, чтобы налаживать процессы внутри компании, только говорит о правильности моего решения уйти» до него не дошло.

    Кроме того, раз 7 звонили в разные моменты с вопросом почему же ухожу. Т.е. они меня выслушивали, а в CRM ничего не записывали. Если у них вообще CRM есть…

    Жалобу со слов звонившего сотрудники call центра, кстати, составить не могут. Это тоже доставляет.

    При том, что качество услуг у них, имхо, — одно из самых высоких на рынке, клиентский сервис — отвратителен.

    ЗЫ: Еще из забавных историй. Звоню в поддержку домашнего интернета. «Введите номер вашего договора». У меня его нет под рукой, да и дома не уверен, что найду. Пытаюсь нажимать и 0, и другие действия, но скрипт голосового меню либо повторяет запрос на номер договора, либо просто обрывает связь. В итоге, пришлось звонить в саппорт мобильной связи выносить 20 минут девушке мозг, чтобы она оставила для сотрудников домашнего интернета заявку на обратный звонок.


    1. achekalin
      31.10.2018 17:46
      -1

      Жалобу со слов звонившего сотрудники call центра, кстати, составить не могут. Это тоже доставляет.

      Всякий раз именно что составляют. Без проблем. Правда, на бизнес-тарифе.


  1. GraDea
    31.10.2018 17:40

    Они мне прислали лайфхак на почту в свое время:image
    #простоудобнодлятебя)


    1. achekalin
      31.10.2018 17:45

      "Чьёртпобьери"?


  1. amarao
    31.10.2018 17:43
    +1

    Типа так:


    GET /support HTTP/1.1
    Host: beeline
    
    HTTP/1.1 302 Found
    Location: /support
    
    Обратитесь в службу поддержки.
    


  1. i0000
    31.10.2018 17:48

    Беда нашего времени — максимальная обфускация любых форм службы поддержки. Будь я депутатом, уголовную ответственность за такую обфускацию.

    Началось все с музыки под «все ваши разговоры записываются», затем и веб-формы обратной связи стали все более и более запутано-перепутано предлагать хоть какой-то диалог с живым сотрудником, заменив это на бесконечные FAQ, среди которых диалог — фиг найдешь, затем к ним добавились недремлющие всплывающие окна «консультантов» — на деле оказывающиеся роботами.

    Раздражает жутко, как и всякий фейк и ложная надежда.

    Уж лучше честно — поддержка недоступна, и с ностальгией вспоминать дозвон в советские инстанции по телефонному номеру. Там уж если пробьешься среди гудков «занято» и не сбросят, то хоть значит, попал куда надо

    зы) вчера «скорую» пришлось вызывать — процесс производился с 4-мя (!) редиректами, каждому из которых надо было объяснять проблему и называть адрес по-новой. Прям как в службе поддержки евросети, и музыка, и «разговоры записываются». Последним звеном оказалась хамоватая тетка, в раздраженно-советской манере после оглашения всех деталей ответившая «ждите» и раздраженно повесившая трубку


  1. achekalin
    31.10.2018 17:54
    +1

    Приложение жгучее: убрали поведение, которое лично мне очень нравилось (было в нём давно), а именно оно запоминало логин (при запуске программы в поле он уже был введен), но вводил пароль и нажимал кнопку «войти» я сам. При этом был вариант не разлогиниваться — точнее, чтобы меня узнавали по номеру симки, если я работал через мобильный интернет, но было предупреждение (очень логичное), что, в случае раздачи интернета с этой же симки через wifi с телефона или роутера, любой подключенный к роутеру сможет как бы от моего имени (от имени моей симки) заказывать мне услуги в личном кабинете.

    Сейчас же, при работе через сотовую сеть, осталось два варианта логина: либо кнопка «войти» (и меня авторизует без пароля, просто по номеру телефона), либо кнопка «войти под другим номером», которая требует вводя и номера, и пароля руками.

    Обратной связи с разработкой (да и вообще обратной связи вида «у вас это сделано плохо») в Би особо нет, можно только написать письмо на эл. ящик, и его «рассмотрят».


  1. ganzmavag
    31.10.2018 18:32

    Это вообще самое странное приложение из тех, которыми приходится пользоваться. Оно тратит дикое время на простой запрос баланса. Я не понимаю как так могли вообще сделать, при условии что на сайте этот же баланс с того же домена грузится моментально.


    1. Mmishak Автор
      31.10.2018 19:10

      Возможно часть проблемы кроется в этом


    1. Acuna
      31.10.2018 23:47

      Наверное потому-что их сайт писался еще во времена, когда JSON и REST API еще не были особо распространены, поэтому существовал только сайт (возможно и сейчас ситуация ангалогична), который все сторонние приложения просто парсят, а это, очевидно, опускает производительность до плинтуса. У Сбера возможно та же тема, ибо как иначе еще объяснить, что их приложение вообще еле двигается, хотя для этого нет никаких предпосылок. Ну либо студентов наняли, которые написали им приложение за так, и в этот говнокод никто даже суваться не хочет, работает и то хорошо. Это результат того, когда на первое место становится забота о сверприбылях, а не удобстве для юзеров. В случае Сбера как государственной компании — это 100%, ну а Билайн — это российская компания, что сейчас, увы, является аналогом государственной(


  1. Pensioner799
    01.11.2018 10:21

    Ахахах Смешно получилось! Они видимо как и их боты не понимали что происходит ))) Какой хозяин такая и собака, вроде так говорят? Вот конечно удивило что именно приходит открытый ответ и еще форматированный?