前書き
私は、長い間ハブレにぶら下がっている記事からこの投稿を書くように促されまし た。すぐに作者に謝罪したいのですが、これ以上の名前は考えられません。ご存知のように、Pyaterochkaは積極的にポイントカードを宣伝しています。上記の記事では、詐欺師が他の人のカードをアクティブにしてポイントを償却すると言われました。ハッカーはさらに進んで、他の人のカードをアクティブにする代わりに、単にユーザーの個人アカウントをハッキングし始めました。何?カードをアクティブ化するのはさらに簡単に聞こえます。詳しく見てみましょう。
個人アカウントのセキュリティについて少し
ご覧のとおり、電話番号とパスワードを使用して個人アカウントを入力できますが、すべてがそれほど単純なわけではありません。データを入力すると、所有者の電話に送信されたSMSコードを入力するためのウィンドウが表示されます。
これをハックする方法はどうですか?コードを反復処理することは不可能であり、試行回数は3回のみで、コードは4桁です。このオプションはすぐに破棄されますが、ハッカーはどういうわけか成功します。つまり、成功するということです。
Pyaterochkaアプリケーション
ロイヤルティプログラムを備えた他のストアと同様に、Pyaterochkaチェーンストアには独自のアプリケーションがあります。アプリケーションだけが単純ではありませんが、コードに独自のゴキブリがあります。アプリの何が問題になっているのかを理解しましょう。
電話番号とパスワードを使用して個人アカウントを入力することもできます。SMSの確認は上から行われますが、興味深い点が1つあります。アプリケーションはアカウントを「記憶」し、次に入力しようとすると、SMSコードの代わりに、プッシュ通知をアプリケーションに直接送信します。これから詳しく説明します。初めてアカウントにログインするときは、SMSからコードを入力して入力する必要があります。何らかの理由でログアウトして再度ログインすることにした場合、2回目以降はSMSコードを受信せず、代わりにSMSコードフィールドがアプリケーションに入力されます。素晴らしい!もちろん、これは美しく行われますが、大きな欠点が1つあります。バージョン2.12.1の「Pyaterochka」アプリケーションにバグがあることに気づきました。おそらく他のバージョンにもあります。バグとは何ですか?どうすればそれを繰り返すことができますか?
以下に2つのビデオを見ることができます。それらは私が撮影したものではありませんが、プッシュ通知とアプリケーションのバグのすべての問題を非常に明確に示しています。
i.imgur.com/BcLnANt.mp4
i.imgur.com/LIGOkBT.mp4
最初のビデオは、ハッカーがログイン情報を入力し、電話でSMSを受信して、自分のアカウントにログインする方法を示しています。次に、終了して承認を再度渡します。 2回目は、SMSが電話に届かず、入力フィールドにプッシュ通知が自動的に入力されていることがはっきりとわかります。」
2番目のビデオでは、攻撃者はすでに自分に属していないアカウントにログインしようとしています。彼はデータを入力しますが、明らかな理由でSMSからのコードを知りません。次に、アプリケーションをプロセスから削除して、再開します。この時点で、アプリケーションのバグがはっきりとわかります。完全に白いウィンドウが開き、攻撃者はアカウントからログアウトします。それから彼は再びログインデータを入力し、見よ、彼はプッシュ通知を受け取ります!なぜこれが起こったのですか?あなたはアプリケーション開発者に尋ねる必要があります...
解決方法
個人的には、攻撃者がアカウントをハッキングできないように、プッシュ通知を無効にするように開発者にアドバイスできます。もちろん、問題が解決するまでしばらくの間無効にします。私自身はアプリケーションの開発が苦手で、賢明なことは何もアドバイスできませんが、それでもプッシュ通知をオフにしていません。
効果
コードのエラーのために、一般の人々、つまり善意の購入者が苦しんでいます。リンクをたどると、ポイントが人々から盗まれたという怒りのレビューを読むことができます: vk.com/topic-19098821_24191218。以下にいくつかの投稿を残します。実際、もっとたくさんありますが、今はいくつか見つけることができないと思います。
ポイントを盗むという問題は非常に重要であり、このビジネスは少なくとも1年間繁栄しています。 ピックアップに投稿を見つけることもできます。
結論
完璧なアプリケーションはありませんが、このバグはひどいものです。私はあなたに法律を破ること、そして特に誰かから何かを盗むことを勧めません!この投稿は、バグを修正し、アプリケーションの開発者に連絡することを目的として作成されました(1か月以上前に手紙を送ったところ、結果はゼロでした)
すべて良いですし、コードでそのような間違いをしないでください!」