Если погугулить можно найти большое количество компаний, готовых сделать подключение к вашему Wi-Fi через регистрацию в SMM.
Для владельцев кафе, ресторанов, отелей и т.п. они предлагают сбор и анализ статистики посещаемости заведений, плюс рекламу через публикации клиентов. Для нас, как клиентов, это вытекает во вторжение в личное пространство, ведь они получают полный доступ к страничке в социальной сети, включая переписку. Все делается для отслеживания клиента, это подтверждает картинка из презентации одной такой компании.
Мне стало интересно, как реализована авторизация через SMM, так как способов масса. На сайтах тех, кто предоставляет такие услуги 1, 2, 3, предлагают собирать информацию о клиентах сразу после регистрации. Я зарегистрировался на одном из таких, как владелец кафе в Москве. Мне дали триальный период и инструкцию по настройке своего Wi-Fi роутера. Все оказалось очень просто.
Используют банальную подмену IP-адресов на уровне DNS, когда вы пытаетесь зайти на какую-нибудь страничку, вам подсовывают фишинговую страницу с авторизацией через соцсеть. Выход кажется очевидным: поставить у себя на устройстве DNS которому вы доверяете. Но решено было проверить, и прикинувшись дурачком я написал в тех подержу.
Замена DNS на доверенный решает проблемы, но сапорт предлагает заворачивать весь трафик по 53 порту, тогда NS запрос всё равно будет идти на bad DNS. Сомневаюсь, что где то в кафе так делают, ведь для этого обычный роутер не подходит, а нужен что-то наподобие MikroTik.
На заметку
- Вы пришли в кафе, бар и т.д., подключились к Wi-Fi. Заходите в браузер, а вас перекидывает на страницу авторизации через соцсети.
- Выйдите из браузера и проверьте: работают ли приложения Skype, Vk, viber и т.д.? Если да, то все что нужно чтоб обойти авторизацию — это заменить DNS на доверенные google public-dns 8.8.8.8 и 8.8.4.4.
- Как это сделать: Android, iPhone, Windows
- Если вы уже попались на удочку, в одном из кафе. Зайдите в Приложения на своей страничке, удалите все подозрительные, измените пароль.
Всем бобра.
Комментарии (41)
Melkij
21.08.2015 14:40+3Выйдите из браузера и проверьте
… можете ли вы подключиться к своему VPN.
vpn-клиент и DNS нормальные поставит и от прочих MitM и снифферов прикроет.
К сожалению, иначе в этом мире никак.
FomkaV
21.08.2015 14:51+1или через SSH-туннель. RSA понадежней MS-CHAP.
Melkij
21.08.2015 15:20+7Минут 5 раздумывал: вы серьёзно или шутите?
Разумеется, под словом VPN я подразумевал нормальные современные openvpn, ipsec, ssh. Или это у меня просто неправильные критерии нормальности?FomkaV
21.08.2015 15:50-9Наверно у меня, всегда ассоциировал VPN = PPTP, сейчас задумался — это работа у нас когда говорят VPN, все подразумевают PPTP.
yosemity
21.08.2015 17:24+5Для меня VPN — это секьюрный туннель, про всякие древние РРТР тоже и в голову не пришло.
Ivan_83
22.08.2015 02:43+1Какое нафик RSA, уже ECDSA прошло и пришло Ed25519!
Некоторые считают что RSA 2048-4096 это надёжно, а ECDSA нет, только они не видели доки где ECDSA с m=256 эквивалентно RSA 16384 бит, а оно считается (верифицируется) долго — секунды на современных процах.
И симметричный + мак: чача20-поли1305 или аес256-гцм.
Если в проце с обоих сторон нет аес то лучше чача, если есть то чача немного отстаёт по скорости (если реализована без SSE/AVX).
Вин юзеры в пролёте: в путти этого нет, при этом куча других клиентов основана на путти, тот же винсцп.
В тератерм есть ECDSA и ed25519, но нет curve25519 для обмена ключами.
FomkaV
21.08.2015 14:45+1В принципе, идея не плохая.
Через Wi-Fi собирать статистику по кол-ву посетителей, время пиковой нагрузки и тд. Но метод реализации сомнителен, кафе и не получает информацию о пользователе. А вот компания, которая реализует данную услугу, на практике обманом и фишингом взламывает посетителя.
NickKolok
21.08.2015 20:40А предлагается ли несчастному бользователю некое лицензионное соглашение? Если нет, так, может, пустить этих ребят на заполнитель раскрываемости?
lexore
21.08.2015 20:57На страничке, где просят вбить пароль?
Там не проблема серым тестом что-нибудь накалякать, чтобы прикрыться.
Другой вопрос, что это никто не читает.
Night_Snake
21.08.2015 21:37+1То что описали в статье вы — это какой-то совершенно неправильный social login. Нормальные пацаны используют api соцсетей и Hotspot-решения (обычно Chillispot или Mikrotik). Потому что надо быть я уж не знаю кем, чтобы вводить данные своей учетки в вк/фб на левой форме.
И да, если используется hotspot, то увы — но туннели, скорее всего, не заработают. Ну если только держать openvpn на tcp:443FomkaV
21.08.2015 22:09-1Статья с которой все и началось, там описано, что побудило компанию к таким методам.
А кто сказал что они нормальные?
Фишинг — это просто, Chillispot или Mikrotik стоят денег, как правило в кафе стоят D-Link, TP-Link, Asus, ширпотреб.Night_Snake
21.08.2015 22:18+2Chillispot поднимается на любом tp-link с накатанным wrt. куда уж дешевле. mikrotik, если и дороже, то незначительно (появились ультрабюджетные hAP lite). Софверная обвязка вам потребуется в любом случае, и это самая дорогая часть проекта. Суммарно, думаю, уложитесь тысяч в 100 с учетом landing page для клиентов.
А побудила их, как в статье и написано, блокировка их приложения со стороны ВК, т.е. пользовать API соцсети они уже не могли, вот и пришлось извращаться.FomkaV
21.08.2015 22:35Не вопрос, все правильно. Но это как должно быть, а я описал как есть. Все из-за жадности, к тому же они заманивают клиентов: возможность собирать аналитику сразу после регистрации, и без прошивки роутера. Это все фразы с сайтов данных ребят.
Night_Snake
21.08.2015 22:39+1Это да, согласен. Я придерживаюсь мнения, что «кроилово ведет к попадалову», и попытка «сэкономить» рано или поздно обернется потерями
potapm
25.08.2015 14:12+1Если внимательно протестировать все 3 предложенных сервиса, то видно что авторизация везде ведется либо через ссылку с redirect_uri либо в окне соцсети. Никаких следов Фишингости, я не нашел. Все https домены с сертификатом. Авторизация происходит только в окне по https. Поэтому волноваться о безопасности думаю смысла нет.
С другой стороны вопрос насколько комфортно посетителям кафе платить за интернет постами на стене соцсети?
Но опять же если внимательно изучить рынок, у всех компаний есть возможность авторизовываться без соц сетей (ввести код, пройти анкету, кликнуть на баннер).
Вопрос больше в реализации окна приглашения в кафе, если это приятно оформленное окно, с вступительным словом шеф повара или даже видео от него, где он предлагает фирменное блюдо. Может даже делиться рецептом. То это может быть приятнее и интереснее чем просто подключиться в интернет. Думаю в том, чтобы сделать себе пост на стену с красивым логотипом или картинкой шикарного заведения, тоже нет ничего страшного.
Технологий реализаций данной темы есть несколько, но автор рассмотрел только одну. По идеи если это Mikrotik со своей дико производительностью или Chillispot со всей гибкостью настройки, то они позволяют достаточно жестко ограничить трафик, и метод описанный в статье не подойдет для обхода авторизации, надо применять другие методы.
DNS редирект описанный в статье имеет как плюсы так и минусы. С одной стороны это простота в настройке на любом оборудовании, с другой стороны возможность обойти посредством перенастройки личных DNS.
Также есть интересный метод, когда посредством VPN перенаправляют весь трафик на сервер, где и обрабатывают. Что позволяет использовать практически любое оборудование для реализации, но метод обхода описанный в статье тоже не подойдет.
Устраивать охоту на ведьм и говорить что авторизация в кафе это зло, думаю смысла нет. Если это грамотно и красиво реализовать, то думаю и посетителям кафе будит приятно и авторизовываться и делать посты.
Phizio
22.08.2015 10:31+1Есть интересные идеи, но есть и те, кто начнёт злоупотреблять и испортит позитивную ауру самой идеи. Стандартная ситуация. Мы к примеру давно уже занимаемся этой темой, никаких днс не используем, апи социалок тоже стандартное для сайтов (а не standalone), через него доступ к личной переписке и даже к постингу на стену не даётся. К тому же надо давать клиенту выбор, может он не сидит вообще в соцсетях. Пусть тогда через моб. или емайл просто входит. Я про то, что многие компании забывают про клиентоориентированность а берут за основу владельцерестораноориентированность ))))
Night_Snake
22.08.2015 10:37Поддерживаю ;) Мы занимаемся примерно тем же (не используем подмену DNS и пользуемся строго API социалок для аутентификации), и у клиента всегда есть выбор (который, разумеется, может быть ограничен владельцем заведения): зайти через социалку, через смс или просто в триальном режиме.
Revertis
21.08.2015 21:57+3Хм, надо быть идиотом, чтобы вбивать свои логин/пароль на левой форме БЕЗ HTTPS.
sexyhippo
21.08.2015 22:28+16ну почему, достаточно не работать в IT сфере
m08pvv
24.08.2015 09:29Увы, иногда и в IT сфере встречаются те, кто в соцсети через всякие «супер прокси для вконтакте» ходит, при этом форма логина там выглядит как родная, но отправляет данные через всякие левые сервера, да ещё и по http…
mastacamp
22.08.2015 00:39Оо, вижу картинки из новой презентации Hot-Wifi ( hot-wifi.ru/presentation.pdf )
кстати помоему единственный сервис который пускает клиентов напрямую на реальные страницы авторизации!!! Проверял, и фейсбук и контакт и инстаграм и всё отлично.
ruslanys
22.08.2015 12:11-18Что за бред?! Что за мания величия? Никому даром не сдались ваши пароли и список друзей. Компании предоставляют маркетинговую площадку. Если бы Вы знали СКОЛЬКО стоит реклама, Вы бы поняли пользу подобных сервисов.
Во-первых из всех перечисленных компаний только wifi-4-like работает с подменой DNS, все остальные через роутер Mikrotik (Hotspot).
Во-вторых, если Вы заметили, то ТОЛЬКО для ВКонтакте действует «странный» механизм, с подменой страницы авторизации. Почему Вы не задали себе вопрос: почему для ВКонтакте ребята используют фишинговую страницу, а для остальных сетей нет? А все потому что ВКонтакте не предоставляет право по API публиковать пост. А их виджет — говно. Выражается это в том, что ВКонтакте открывает новые окна (popup). А на большинстве устройств (в том числе все устройства Apple), после подключения к такой сети открывается окно авторизации. Так вот, официальное API ВКонтакте открывает новое окно и весь процесс авторизации рушится: либо невозможно открыть popup, либо popup не связан с той страницей, которая его открыла (родитель). Я лично разрабатывал подобный сервис от начала до конца и с ВКонтакте мы воевали 3 месяца, писали им кучу писем на получения права публиковать пост, потом, чтобы они привели свое API в порядок, но всем похер. Сам ВКонтакте не заинтересован в том, чтобы сторонние программисты пользовались их инструментом, и не обманывали своих клиентов.
К слову говоря, ДАЖЕ у Одноклассников API на размещение поста гораздо удобней, приятней, и качественней.
А у Facebook и вовсе можно совсем официально запросить право на размещение записей на стене у пользователя (право называется publish_actions).
В итоге мы пришли к решению с так называемой «фишинговой» страницей. Потому что технических вариантов других просто НЕТ, а бизнес не может без этой социальной сети! Данные получаем по SSL, сами пароли и логины не храним. В политике конфиденциальности это прописано красными буквами. Или вы считаете, что лучше забить на идею, на бизнес только потому что у ВКонтакте API говно?
В-третьих, ничего не бывает бесплатного. Не нравится —не ешьпользуйся LTE.
Эпилог.
Я всегда считал, что сообщество Хабр — это образованные интеллектуалы, которые думают, делают анализ, прежде чем писать статьи. Крайне удивлен человеку, который дал за такую статью инвайт.
Одно дело — написать дурную статью, другое дело — делать преждевременные выводы, основываясь на недостатке информации.
P.S. А картинки красивые. Дизайнеры молодцы.ruslanys
22.08.2015 12:15-5Вот что нам отвечает техническая поддержка ВК на все наши варианты по улучшению их API:
Здравствуйте, Руслан!
Не то, чтобы это не работало, потому что наши разработчики не знают, как это сделать. Просто на данный момент у них постоянно находятся более приоритетные задачи. Поверьте, мы ждем решения проблемы с мобильными браузерами не меньше вашего.
С уважением,
Агент
ascending
22.08.2015 14:36+6То есть в кафе, где я и так оставляю деньги за еду, вайфай предлагается выдавать только за репост говнорекламы в социалочке? Отвратительно
ruslanys
22.08.2015 14:39-11Ну это уже другой разговор, касающийся концепции самого сервиса и его идеи. В метро ведь тоже вайфай предлагают только после просмотра рекламы, хотя ты оплатил проезд.
ascending
22.08.2015 14:44+5Я улавливаю некоторую разницу между «посмотреть рекламу» и «распространять рекламу среди своих друзей»
ruslanys
22.08.2015 14:47-8Ты утрируешь. Само собой, есть клиенты, которые на такое не готовы пойти, или отсутствуют регистрации в соц. сетях. Для таких случаев проработаются обычно альтернативные методы авторизации: по смс, по паролю.
ruslanys
22.08.2015 14:52-6Но я больше говорил о том, почему сервисы идут на такие изощрения с технической стороны. Вопрос концепции самого сервиса меня мало касается. Но как клиент заведения, я бы тоже не стал распространять рекламу, которая мне не нравится, и в этом прекрасно тебя понимаю.
Lobey
22.08.2015 21:40+2Ни одному кафе не нужно что-то подключать и устанавливать (а это всё — не бесплатно), чтобы угощать клиентов халявным инетом. Год назад о подобном никто и не слышал. Но год назад был принят закон, требующий идентификации абонентов. Вот кафе и вынуждены вводить подобную «радость». А те, кто могут им с этим помочь (уже упоминали компании) — убивают двух зайцев одним махом: предлагают идентифицировать абонентов не только через SMS (как в метро), но и через социалки + дают кафешкам механизм сбора статистики о клиентах.
Пока я не встречал ни одного кафе, где репост обязателен. Обычно обязательно только залогиниваться. Репостить — по желанию. Впрочем, не исключаю, что такие кафе есть.
Night_Snake
22.08.2015 23:13Лукавите вы, уважаемый.
Во-первых, проблема с pop-ups обходится даже на устройствах Apple (посмотрите тот же HotWifi к примеру). Во-вторых, в тексте статьи явно сказано: ВК заблокировал их приложение за излишне назойливую рекламную кампанию. Вот и пришлось извращаться. Что касается поста: у FB это крайне урезано в новой версии платформы: например, нельзя вставлять картинку в сам пост.
Ну и проблемы постить в ВК сейчас нет: да, закрыли прямой wall.post, но можно постить через приложение.
Glebcha
22.08.2015 12:25Наверное так только у нас «топором по яйцам», ведь куда лучше легкая мотивирующая политика вроде «нам нужен твой вход через социалочку, чтобы посчитать все репосты и выдать тебе карту постоянного клиента».
А платить за такое деньги и потенциально терять клиентов… глупость какая-то.
Mitch
23.08.2015 01:24+4Как пользователь, я увидев такое подумал бы что на роутере кафешке хакеры поставили свой софт и воруют пароли.
Первая мысль была, когда я понял схему, что они вообще превысили допустимые границы, ведь это воровство паролей, не важно с какими намерениями.
Но если пользователя предупреждают, и честно говорят — или давай нам свой пароль от вк, или сиди без вайфая, то вообщем то все нормально.
Если мне вай фай критичен, я бы пошел в другую кафешку, или использовал не основной акк вк.
Grumpy
23.08.2015 03:28+4Мда. Благодаря вот таким вот хитросделанным и непонятно чего о себе возомнившим дельцам и умрет WIFI в общественных зонах в условиях наличия нормальной альтернативы в виде толстых и дешевых тарифов на 3G и 4G.
Но пока что это зло можно обернуть в свою пользу и использовать в качестве лакмусовой бумажки добросовестности кафе. Раз владелец подсовывает гостям такую лажу, бежать нужно из этого заведения резко и стремительно. Ибо очевидно, что обманув в одном, обманет и в другом. И мочи ослиной в кофе нальет непременно. Чего ему стоит?
nadz
Пару часов назад некие хлопцы звонили и рассказывали о том, какую супер-пупер маркетинговую штуку мы можем упустить, если не воспользуемся их предложением.
Я очень долго мычал, т.к. не мог понять о чём идёт речь: то ли мне предлагают сливать данные клиентов своей сети, то ли одно из двух.
Прислали презентацию, в которой всё разложено по полкам: ставим микротик, который всё «серое» раздает своим DHCP.
И вот тут такая статья — прямо в точку.
drakmail
Какой-нибудь HotWifi? :)
nadz
Нет, но аналог.
Не буду рекламировать этих «специалистов».