Sicherheitsanfälligkeit des Bedieners

Ohne zu viele Wortwechsel zu machen, werde ich Ihnen sofort sagen, was das Problem wäre. Zum Zeitpunkt des Schreibens dieses Artikels bemerkte ich einen konzeptionellen Programmierfehler der offiziellen Anwendung eines der größten Telefonanbieter in Italien. Ich weiß nicht, ob dies ein bekanntes Problem ist, aber der Kundensupport, den ich alarmierte, sobald ich bemerkte, sagte mir, dass es keine bekannte Sache war. Sie werden die technische Abteilung informieren und uns auf dem Laufenden halten.

Ich werde diesen Telefonanbieter in diesem Artikel nicht nennen, um zu vermeiden, dass er beschädigt wird und rechtliche Herausforderungen anfallen.

In der Praxis ist es eine konzeptionelle Verwundbarkeit, die Sie einem sogenannten MAN IN THE MIDDLE-Angriff aussetzt. Ein solcher Angriff ermöglicht es einem Angreifer in der Regel, sich in die Mitte einer Verbindung zu schleichen, um Befehle auszuführen oder einfach Informationen zu erfassen.

In diesem speziellen Fall wird auf einen großen Teil der Informationen verwiesen, die die App bereitstellt.


Wie der Fehler dieser App funktioniert

Stellen Sie sich zwei Handys Smartphone, das erste werden wir es ALFA oder primär nennen und die zweite werden wir es BETA oder sekundär nennen. Das primäre Smartphone teilt sich die Datenverbindung mit dem sekundären Smartphone im Hotspot-Modus. Denn aus Gründen, die angeblich auf Benutzerfreundlichkeit und Bequemlichkeit zurückzuführen sind, erwägt die offizielle Smartphone-Anwendung des Telefonbetreibers zum Zeitpunkt des Schreibens auch den direkten Zugriff über ip-Adresse, die zum ip-Pool gehört. Vom betreffenden Betreiber zuweisen (also ohne Eingabe von Anmeldeinformationen), hat das BETA-Smartphone, d. h. das Smartphone, das sich an die gemeinsame Verbindung anschließt, dieselbe IP-Adresse erbt, dieselbe Anwendung ausführt, Zugriff auf dieselbe Smartphone, das die Verbindung teilt, das ist der ALFA.

Warum dies ein Problem sein könnte

Obwohl Sie normalerweise die Verbindung teilen, um einem oder mehreren uns bekannten Personen die Verbindung zu ermöglichen, ist es nur richtig, dass wir wissen, dass Sie zusammen mit der Verbindung auch die Möglichkeit haben, auf Informationen zuzugreifen, die wir möglicherweise nicht als Anzeige teilen möchten. zum Beispiel unser verbleibendes Guthaben und alle Informationen, die auf dem ALFA-Telefon über unseren Vertrag mit dem Telefonbetreiber zur Verfügung stehen.

Welche Daten sind gefährdet?

  • Die Telefonnummer desjens, der die Verbindung gemeinsam hat;
  • Der Preisplan;
  • Ausgaben: Gesamtnachrichten, nachrichten, digitale Dienste, Minen;
  • Zugang zu Nachfüllungen und Angeboten, einschließlich aller Paypal-Profile. Möglichkeit, eine Nachfüllung mit diesen Daten zu bestellen, Angebote zu bearbeiten, andere Angebote zu bestellen, die Telefonangebote zu stornieren, die mit der Karte derjenigen verbunden sind, die die Verbindung teilen, als ob es Ihr Profil wäre;
  • Der Puk-Code zum Entsperren der Karte;
  • Begrenzter Zugriff auf aufgerufene Nummern. Um die letzten Ziffern anzuzeigen, benötigen Sie eine Bestätigung über code, der per SMS eintrifft.

Wie man es repariert

Derzeit besteht die einzige Möglichkeit, das Auftreten des Problems zu verhindern, darin, Ihre Verbindung nicht freizugeben. Obwohl es wahr ist, dass Sie ihre Verbindung in der Regel mit vertrauenswürdigen Personen teilen und ein Passwort eingeben, ist es auch wahr, dass es meiner bescheidenen Meinung nach nicht möglich sein sollte, Angebote und alles andere über eine App anzuzeigen und zu bearbeiten. die sich mit der IP-Adresse authentifiziert.

Als ich diesen Fehler entdeckte

Nach Jahren, in dem ich nicht in den Urlaub gefahren war, beschloss ich, meinen Partner auf eine italienische Insel zu bringen. Obwohl die Website der Immobilienagentur sagte, dass es Wlan für alle Wohnungen gibt, war ich gezwungen, meine Verbindung von meinem Handy zu teilen, weil Sie einen Plan mit einer sehr begrenzten Menge an Gigabytes haben. Wir haben beide den gleichen Telefonanbieter und daher greifen wir über die offizielle Anwendung dieses Betreibers auf die Informationen im Zusammenhang mit Werbeaktionen und Krediten zu. Ich war im anderen Raum, als meine Verlobte mich anrief und ihr Handy in die Hand hielt, denn auf ihrer Anwendung waren es sechzig Euro weniger als der Kredit, den sie am Vortag gezeigt hatte. Darüber hinaus teilte sie mir mit, dass es mehrere aktive Dienste gebe, die sie nie angefordert habe. Wir riefen dann die Kunden-Support-Nummer und ein sehr netter Betreiber informierte uns, dass die Gutschrift, die auf ihren Monitoren war, anders war als das, was wir in der Anwendung sahen. Uns wurde gesagt, dass es vielleicht eine vorübergehende Fehlfunktion sein könnte, aber in der App, die im Handy meines Partners installiert ist, sehe ich meine Telefonnummer. An diesem Punkt informierte ich den Betreiber der Sache und wir folgerten, dass die Motivation damit zusammenhängt, dass die Authentifizierung auch über ip-Adresse erfolgt, es ein konzeptionelles Problem in der Anwendung geben musste. Um zu überprüfen, ob das Problem tatsächlich da war und dass es kein Fall war, haben wir mehrere Tests durchgeführt. Bevor sie den Kundendienst anrief, wollte meine Partnerin unaufgeforderte Dienste deaktivieren, von denen sie dachte, dass sie willkürlich auf ihrer Karte direkt aus der Anwendung aktiviert worden waren. Was wäre passiert, wenn es Strafen gegeben hätte? Was würde passieren, wenn es böswillige oder versehentliche Aktivierungen von Bindungsdiensten gäbe? Am Ende begrüßte er uns, indem er dafür sorgte, dass er einen Fall an die technische Abteilung einstellte und uns über das Ergebnis informierte. Ich denke, ein respektables Unternehmen nicht zu spät, um dieses Problem zu lösen. Aber in der Zwischenzeit, Ich dachte, es eine gute Idee, Sie zu informieren, dass das Teilen Ihrer Telefonverbindung kann Sie Kopfschmerzen verursachen.

Der Zweck dieses Artikels und für wen es nützlich sein könnte

Ich habe diesen Artikel geschrieben, um zu verhindern, was mir passieren würde. Der Zweck dieses Artikels ist es, ein unbeabsichtigtes Durchsickern vertraulicher Informationen zu verhindern. Um zu wissen, ob die Anwendung Ihres Netzbetreibers diesem Problem unterliegt, müssen Sie es nur mit zwei Smartphones testen. Öffnen Sie die Anwendung Ihres Mobilfunkanbieters in beiden Mobiltelefonen, nachdem Sie das zweite Smartphone mit der gemeinsamen Verbindung des ersten verbunden haben, und wenn Sie von der Anwendung des zweiten Mobiltelefons die im ersten vorhandenen Anwendungsdaten sehen, dann bedeutet dies, dass Die Anwendung Ihres Operators ist ebenfalls von diesem Problem betroffen. Falls Sie Ihre Freunde oder Bekannten aus besonders peinlichen Situationen „retten“ möchten, empfehle ich Ihnen, diesen Artikel mit ihnen zu teilen.


Es ist möglich, einen Kommentar als registrierter Benutzer der Seite zu hinterlassen, über soziale Netzwerke, ein Wordpress-Konto oder als anonymer Benutzer zuzugreifen. Wenn Sie einen Kommentar als anonymer Benutzer hinterlassen möchten, werden Sie nur dann per E-Mail über eine mögliche Antwort benachrichtigt, wenn Sie Ihre E-Mail-Adresse angeben (optional). Die Angabe von Daten in den Kommentarfeldern ist völlig optional. Jeder, der sich entscheidet, Daten einzugeben, akzeptiert die Behandlung dieser für die Zwecke, die dem Service oder der Beantwortung des Kommentars und der Kommunikation unbedingt erforderlich sind.


Kommentar verfassen