Компьютерные и консольные игры  

Вернуться   Компьютерные и консольные игры > Разное > Курилка

  Информационный центр
Последние важные новости
 

 ВНИМАНИЕ! Розыгрыш - лотерея №8

 

 
 

 

 

 

 

 

 

 

 

 

 
 
 

Курилка Курим тут! Все что вы хотели сказать на форуме, но не нашли для этого подходящего раздела, выкладываем тут.

Ответ
 
Опции темы Опции просмотра
Старый 30.12.2017, 18:10   #1
Старший War3FT [61lvl], Старший Public сервера
 
Аватар для Morphine
 

Регистрация: 07.06.2015
Адрес: Москва
Сообщений: 7,162
Вы сказали Спасибо: 3,283
Поблагодарили 5,722 раз(а) в 3,191 сообщениях
По умолчанию Уязвимость у сотовых операторов, позволяющая узнать номер, IMEI и местоположение

Известный ресурс для айтишников в рунете - хабрахабр уже начал гудеть от опубликованной там сегодня в обед статьи
"DPI мобильных операторов: от бесплатного интернета до раскрытия номера и местоположения".

Так как ресурс, что называется, "не для всех" и информация, изложенная в той статье, наверняка прошла бы мимо 99% читателей
и пользователей сотовой связи, я бы хотел кратко и более доступным языком объяснить какой лютый треш сегодня на самом деле был обнародован!

Гениальный чувак, автор той статьи, сумел разобраться с тем, как сотовые операторы внедряют свои служебные заголовки
в открываемые абонентами сотовых операторов страницы различных служебных сайтов сотовых операторов и научился модифицировать
эти заголовки таким образом, чтобы при заходе на сайт вообще не принадлежащий сотовому оператору, от абонента на этот сайт
отдавались следующие данные:


1) номер телефона абонента, закрепленный за SIM-картой, с которой происходит выход в интернет при заходе на такой злонамеренный сайт.

2) в некоторых случаях IMEI устройства.

3) при некоторых условиях - местоположения абонента по идентификаторам базовой станции, на которой сейчас работает абонент.

4) иные данные.


Кроме того, автор той статьи научился таким образом модифицировать заголовки своих запросов, что есть возможность попадать
в личные кабинеты чужих номеров и работать в чужих Личных кабинентах с чужими номерами как со своими, а также получать
бесплатный доступ в интернет при нулевом или отрицательном балансе.

Особо подчеркну, что никакие соксы и прокси, vpn, ssh и т.д. и т.п. пока на данный момент не помогут защититься от раскрытия указанных данных!

На самом хабрахабре уже опубликована ссылка на тестовый сайт, при заходе на который любой абонент МТС тут же увидит
свой номер и получит входящий звонок. Можете попробовать сами!

Прошу оценить ситуацию: простой заход на тестовый сайт, не имеющий никакого отношения к доменам сотовых операторов и Вы деанонимизированы.

Как пишет автор статьи, дыра лишь частично закрыта сотовыми операторами с 2016 года, но большая часть уязвимостей не закрыта по текущий день.

Даже страшно себе представить, какой простор для мошеннических схем сейчас будет открыт...


Оригинал статьи: https://habrahabr.ru/post/345852/

Дополнение:

Цитата:
В начале декабря 2016 года я попытался связаться с технической поддержкой всех четырех операторов, чтобы сообщить о проблеме.
Раскрывать подробности бесплатного интернета бесплатно не слишком хотелось, поэтому я ожидал вознаграждения за сообщенную уязвимость.
Чтобы все было честно, и чтобы подтвердить, что я не какой-то простофиля, просящий денег, были найдены веб-уязвимости, не связанные
с DPI: у Билайна — получение доступа к личному кабинету с сайта злоумышленника, без ввода логина и пароля, у МТС — раскрытие номера
телефона, баланса и тарифа с сайта злоумышленника.

МТС и Билайн отказались работать с анонимами, поэтому ровно год назад, 29 декабря 2016 года, была организована личная встреча с представителями
службы безопасности МТС и Билайн, где им были переданы все подробности веб-уязвимостей. Было предложено заключить контракт на поиск уязвимостей
в DPI, если их это устроит.

В течение 2017 года я неоднократно связывался с МТС и Билайн, чтобы уточнить, как продвигаются дела с закрытием веб-уязвимостей,
но не получал ответа. Я писал с разных адресов email, чтобы исключить технические проблемы с доставкой почты, а также личные сообщения в Twitter.

Билайн «прикрыл» уязвимость только в конце октября — сделал так, чтобы ее нельзя было эксплуатировать через веб-браузер, но любая программа,
установленная на телефоне, может до сих пор получить доступ в личный кабинет, узнать номер телефона, сменить тариф, подключить опции.

МТС до сих пор не закрыл уязвимость. Любой сайт может узнать ваш номер телефона.

Мегафон ответил на первые два сообщения, но в дальнейшем не получал ответа от них.

Единственный, кто меня порадовал — представители Теле2. Отвечали быстро и четко, предложили денежное вознаграждение.

__________________
Избыточное использование обсценной лексики в вербальном общении ведёт к постепенной деградации эмоционального и интеллектуального уровня,
так как подобные аппроксимации довлеют к полному исчезновению глубоких смысловых конструкций в речи и негативно влияют на мыслительные процессы.


Как выложить демку и скрины? СМОТРИ ТУТ или видео ТУТ
Заблудился на форуме? Жми сюда!......... Купил АДМИНКУ? Зайди сюда!......... Мой вк: http://vk.com/pmorp

Последний раз редактировалось Morphine, 30.12.2017 в 18:12.
Morphine вне форума   Ответить с цитированием

Полезная информация

Как получить бесплатно услуги на серверах

Старый 31.12.2017, 19:27   #2
Самый главный тут :))
 
Аватар для Bullet74
 
Выигранных турниров: 2

Регистрация: 20.12.2007
Адрес: Краснодарский край
Сообщений: 14,786
Вы сказали Спасибо: 9,433
Поблагодарили 11,277 раз(а) в 5,036 сообщениях
По умолчанию

Да уж, почитал коменты с оригинала статьи и ужаснулся. Такое ощущение, что это сделано преднамеренно для кого-то.
Bullet74 вне форума   Ответить с цитированием
Старый 31.12.2017, 19:41   #3
Старший War3FT [61lvl], Старший Public сервера
 
Аватар для Morphine
 

Регистрация: 07.06.2015
Адрес: Москва
Сообщений: 7,162
Вы сказали Спасибо: 3,283
Поблагодарили 5,722 раз(а) в 3,191 сообщениях
По умолчанию

Bullet74, это сделано для рекламщиков, для спецслужб и всех, кто пользуется статистикой изначально.
Иначе не отследить аудиторию.
Также, чтобы списать лишний раз деньги, при заходе на какой-либо сайт.

Другой вопрос, что сделано это очень топорно и даёт возможности злоумышленникам воспользоваться этими дырами.
__________________
Избыточное использование обсценной лексики в вербальном общении ведёт к постепенной деградации эмоционального и интеллектуального уровня,
так как подобные аппроксимации довлеют к полному исчезновению глубоких смысловых конструкций в речи и негативно влияют на мыслительные процессы.


Как выложить демку и скрины? СМОТРИ ТУТ или видео ТУТ
Заблудился на форуме? Жми сюда!......... Купил АДМИНКУ? Зайди сюда!......... Мой вк: http://vk.com/pmorp
Morphine вне форума   Ответить с цитированием
Ответ


Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать темы
Вы не можете отвечать на сообщения
Вы не можете прикреплять файлы
Вы не можете редактировать сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


Часовой пояс GMT +4, время: 00:38.


Rambler's Top100

vBulletin®
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd.
Перевод: zCarot

Скачать КС 1.6


Компьютерные и консольные игры © Все права защищены