introduction
J'ai été inspiré pour écrire ce post par un article qui pendait sur Habré depuis longtemps . Je tiens tout de suite à m'excuser auprès de l'auteur, il est impossible de trouver un meilleur nom. Comme vous le savez tous, Pyaterochka fait la promotion active de ses cartes de fidélité. Dans l'article ci-dessus, on nous a dit que les fraudeurs activent les cartes d'autres personnes et annulent des points. Les hackers sont allés plus loin et au lieu d'activer les cartes d'autres personnes, ils ont simplement commencé à pirater les comptes personnels des utilisateurs. Quoi? Cela semble encore plus facile d'activer des cartes, regardons de plus près.
Un peu sur la sécurité des comptes personnels
Comme nous pouvons le voir, vous pouvez entrer votre compte personnel en utilisant votre numéro de téléphone et votre mot de passe, mais tout n'est pas si simple. Après avoir saisi les données, une fenêtre apparaît pour saisir le code SMS, qui a été envoyé sur le téléphone du propriétaire.
Il semblerait comment pirater cela? Il est impossible de parcourir le code, il n'y a que 3 tentatives et le code est à quatre chiffres. Nous rejetons immédiatement cette option, mais les pirates réussissent en quelque sorte, ce qui signifie que nous réussirons!
Application Pyaterochka
Comme tout autre magasin avec un programme de fidélité, la chaîne de magasins Pyaterochka a sa propre application. Seule l'application n'est pas simple, mais avec ses propres cafards dans le code. Voyons ce qui ne va pas avec l'application.
Vous pouvez également entrer votre compte personnel à l'aide d'un numéro de téléphone et d'un mot de passe, et une confirmation par SMS vient d'en haut, mais il y a un point intéressant. L'application «se souvient» du compte et la prochaine fois que vous essayez d'entrer, au lieu du code SMS sur le téléphone, elle envoie une notification push directement à l'application. Je vais vous expliquer plus en détail maintenant. Lorsque vous vous connectez à votre compte pour la première fois, vous devez entrer le code du SMS pour entrer. Si, pour une raison quelconque, vous décidez de vous déconnecter et de vous reconnecter, la deuxième fois et les suivantes, vous ne recevrez pas le code SMS et le champ du code SMS sera rempli dans l'application. Magnifique! Ceci est fait à merveille, bien sûr, mais il y a un énorme inconvénient. J'ai remarqué un bug dans l'application "Pyaterochka" de la version 2.12.1, éventuellement dans d'autres versions. Quel est le bug et comment puis-je le répéter?
Ci-dessous vous pouvez voir deux vidéos, elles n'ont pas été tournées par moi, mais elles montrent très clairement tous les problèmes de notifications push et le bug d'application.
i.imgur.com/BcLnANt.mp4
i.imgur.com/LIGOkBT.mp4
La première vidéo montre comment le pirate entre les informations de connexion, puis reçoit un SMS sur le téléphone et se connecte à son compte. Ensuite, il sort et passe à nouveau l'autorisation. La deuxième fois, nous pouvons clairement voir qu'aucun SMS ne parvient au téléphone et le champ de saisie est automatiquement rempli d'une notification push. "
Dans la deuxième vidéo, l'attaquant tente déjà de se connecter à un compte qui ne lui appartient pas. Il entre des données, mais il ne connaît pas le code du SMS pour des raisons évidentes. Ensuite, il supprime l'application des processus et la redémarre. À ce stade, le bogue de l'application est clairement visible. Une fenêtre complètement blanche s'ouvre, après quoi l'attaquant se déconnecte du compte. Puis il entre à nouveau les données de connexion et voilà, il reçoit une notification push! Pourquoi est-ce arrivé? Vous devez demander aux développeurs d'applications ...
Méthodes de solution
Personnellement, je peux conseiller aux développeurs de désactiver les notifications push afin que les attaquants ne puissent pas pirater les comptes. Désactivez, bien sûr, pendant un certain temps jusqu'à ce que le problème soit résolu. Je ne suis pas doué pour le développement d'applications et je ne peux rien conseiller de sensé, mais ils n'ont toujours pas désactivé les notifications push.
Effets
En raison d'une erreur dans le code, les gens ordinaires souffrent, à savoir les acheteurs de bonne foi. Vous pouvez lire les critiques en colère selon lesquelles des points ont été volés à des personnes en suivant le lien: vk.com/topic-19098821_24191218 . Ci-dessous, je vais laisser quelques messages, en fait, il y en a beaucoup plus, mais je pense que maintenant je ne peux pas en trouver.
Le problème du vol de points est très pertinent et cette activité est florissante depuis au moins un an. Vous pouvez même trouver des messages sur un pick-up .
conclusions
Il n'y a pas d'applications parfaites, mais ce bogue est terrible. Je ne vous exhorte pas à enfreindre la loi et surtout à voler quelque chose à quelqu'un! La publication a été créée dans le but de corriger un bug et de contacter les développeurs de l'application (je leur ai envoyé la lettre il y a plus d'un mois et le résultat était nul)
Tout va bien et ne faites pas de telles erreurs dans le code! "