pengantar
Saya terinspirasi untuk menulis posting ini oleh sebuah artikel yang telah lama disimpan di Habré . Saya ingin meminta maaf kepada penulis segera, tidak mungkin untuk memikirkan nama yang lebih baik. Seperti yang Anda ketahui, Pyaterochka secara aktif mengiklankan kartu loyalitasnya. Dalam artikel di atas, kami diberi tahu bahwa scammer mengaktifkan kartu orang lain dan menghapus poin. Para peretas melangkah lebih jauh dan alih-alih mengaktifkan kartu orang lain, mereka mulai meretas akun pribadi pengguna. Apa? Kedengarannya lebih mudah untuk mengaktifkan kartu, mari kita lihat lebih dekat.
Sedikit tentang keamanan akun pribadi
Seperti yang bisa kita lihat, Anda dapat memasukkan akun pribadi menggunakan nomor telepon dan kata sandi Anda, tetapi tidak semuanya sesederhana itu. Setelah memasukkan data, sebuah jendela muncul untuk memasukkan kode SMS, yang dikirimkan ke telepon pemilik.
Tampaknya bagaimana cara meretas ini? Tidak mungkin untuk mengulang kode, hanya ada 3 percobaan, dan kodenya empat digit. Kami segera membuang opsi ini, tetapi para peretas berhasil, yang berarti kami akan berhasil!
Aplikasi Pyaterochka
Seperti toko lain dengan program loyalitas, rantai toko Pyaterochka memiliki aplikasinya sendiri. Hanya aplikasinya tidak sederhana, tetapi dengan kecoaknya sendiri di kodenya. Mari cari tahu apa yang salah dengan aplikasi tersebut.
Anda juga dapat memasukkan akun pribadi menggunakan nomor telepon dan kata sandi, dan konfirmasi SMS datang dari atas, tetapi ada satu hal yang menarik. Aplikasi "mengingat" akun tersebut dan saat berikutnya Anda mencoba masuk, alih-alih kode SMS ke ponsel, aplikasi mengirimkan pemberitahuan push langsung ke aplikasi. Saya akan menjelaskan lebih detail sekarang. Saat Anda masuk ke akun Anda untuk pertama kalinya, Anda harus memasukkan kode dari SMS untuk masuk. Jika karena alasan tertentu Anda memutuskan untuk keluar dan masuk lagi, maka pada waktu kedua dan selanjutnya Anda tidak akan menerima kode SMS, dan sebagai gantinya, bidang kode SMS akan diisi dalam aplikasi. Hebat! Ini dilakukan dengan indah, tentu saja, tetapi ada satu kelemahan besar. Saya melihat bug di aplikasi "Pyaterochka" versi 2.12.1, mungkin di versi lain. Apa bug itu dan bagaimana cara mengulanginya?
Di bawah ini Anda dapat melihat dua video, mereka tidak direkam oleh saya, tetapi mereka dengan sangat jelas menunjukkan semua masalah pemberitahuan push dan bug aplikasi.
i.imgur.com/BcLnANt.mp4
i.imgur.com/LIGOkBT.mp4
Video pertama menunjukkan bagaimana peretas memasukkan informasi login, kemudian menerima SMS di telepon dan masuk ke akunnya. Kemudian keluar dan melewati otorisasi lagi. Kedua kalinya kami dapat melihat dengan jelas bahwa tidak ada SMS yang masuk ke telepon dan kolom input secara otomatis diisi dengan notifikasi push. "
Di video kedua, penyerang sudah mencoba masuk ke akun yang bukan miliknya. Dia memasukkan data, tetapi dia tidak tahu kode dari SMS karena alasan yang jelas. Kemudian dia menghapus aplikasi dari proses dan memulainya lagi. Pada titik ini, bug aplikasi terlihat jelas. Jendela yang benar-benar putih terbuka, setelah itu penyerang logout dari akun. Kemudian dia memasukkan data login lagi dan lihatlah, dia menerima pemberitahuan push! Kenapa ini terjadi? Anda perlu bertanya kepada pengembang aplikasi ...
Metode solusi
Secara pribadi, saya dapat menyarankan pengembang untuk menonaktifkan pemberitahuan push sehingga penyerang tidak dapat meretas akun. Nonaktifkan, tentu saja, untuk sementara waktu hingga masalahnya teratasi. Saya sendiri tidak pandai mengembangkan aplikasi dan saya tidak dapat menyarankan apa pun yang masuk akal, tetapi mereka masih belum mematikan pemberitahuan push.
Efek
Karena kesalahan dalam kode, orang biasa menderita, yaitu pembeli yang bonafid. Anda dapat membaca ulasan marah bahwa poin dicuri dari orang-orang dengan mengikuti tautan: vk.com/topic-19098821_24191218 . Di bawah ini saya akan meninggalkan beberapa posting, sebenarnya masih banyak lagi, tetapi saya pikir sekarang saya tidak dapat menemukan beberapa.
Masalah mencuri poin sangat relevan dan bisnis ini telah berkembang setidaknya satu tahun. Anda bahkan dapat menemukan postingan tentang pengambilan .
kesimpulan
Tidak ada aplikasi yang sempurna, tetapi bug ini sangat buruk. Saya tidak mendorong Anda untuk melanggar hukum dan terutama mencuri sesuatu dari seseorang! Postingan tersebut dibuat dengan tujuan untuk memperbaiki bug dan menjangkau pengembang aplikasi (Saya mengirim surat kepada mereka lebih dari sebulan yang lalu dan hasilnya nol)
Semua baik dan jangan membuat kesalahan seperti itu dalam kode! "