Опубликована уязвимость у всех российских сотовых операторов, позволяющая узнать номер, IMEI и местоположение абонента.

[ Версия для печати ]
Добавить в Facebook Добавить в Twitter Добавить в Вконтакте Добавить в Одноклассники
Страницы: (6) [1] 2 3 ... Последняя »  К последнему непрочитанному [ ОТВЕТИТЬ ] [ НОВАЯ ТЕМА ]
cracklover
29.12.2017 - 20:02
Статус: Offline


Весельчак

Регистрация: 30.07.12
Сообщений: 134
192
Известный ресурс для айтишников в рунете - хабрахабр уже начал гудеть от опубликованной там сегодня в обед статьи "DPI мобильных операторов: от бесплатного интернета до раскрытия номера и местоположения".
Так как ресурс, что называется, "не для всех" и информация, изложенная в той статье, наверняка прошла бы мимо 99% читателей и пользователей сотовой связи, я бы хотел кратко и более доступным языком объяснить какой лютый треш сегодня на самом деле был обнародован!

Гениальный чувак, автор той статьи, сумел разобраться с тем, как сотовые операторы внедряют свои служебные заголовки в открываемые абонентами сотовых операторов страницы различных служебных сайтов сотовых операторов и научился модифицировать эти заголовки таким образом, чтобы при заходе на сайт вообще не принадлежащий сотовому оператору, от абонента на этот сайт отдавались следующие данные:

1) номер телефона абонента, закрепленный за SIM-картой, с которой происходит выход в интернет при заходе на такой злонамеренный сайт.
2) в некоторых случаях IMEI устройства.
3) при некоторых условиях - местоположения абонента по идентификаторам базовой станции, на которой сейчас работает абонент.
4) иные данные.

Опубликована уязвимость у всех российских сотовых операторов, позволяющая узнать номер, IMEI и местоположение абонента.
 
[^]
Yap
[x]



Продам слона

Регистрация: 10.12.04
Сообщений: 1488
 
[^]
cracklover
29.12.2017 - 20:06
Статус: Offline


Весельчак

Регистрация: 30.07.12
Сообщений: 134
Кроме того, автор той статьи научился таким образом модифицировать заголовки своих запросов, что есть возможность попадать в личные кабинеты чужих номеров и работать в чужих Личных кабинентах с чужими номерами как со своими, а также получать бесплатный доступ в интернет при нулевом или отрицательном балансе.

Особо подчеркну, что никакие соксы и прокси, vpn, ssh и т.д. и т.п. пока на данный момент не помогут защититься от раскрытия указанных данных!

На самом хабрахабре уже опубликована ссылка на тестовый сайт, при заходе на который любой абонент МТС тут же увидит свой номер и получит входящий звонок. Можете попробовать сами!
Прошу оценить ситуацию: простой заход на тестовый сайт, не имеющий никакого отношения к доменам сотовых операторов и Вы деанонимизированы.

Как пишет автор статьи, дыра лишь частично закрыта сотовыми операторами с 2016 года, но большая часть уязвимостей не закрыта по текущий день.

Даже страшно себе представить, какой простор для мошеннических схем сейчас будет открыт...
пруф.
 
[^]
Фишкин
29.12.2017 - 20:07 [ показать ]
-10
EraserEx
29.12.2017 - 20:07
41
Статус: Offline


Кинтуш

Регистрация: 5.05.14
Сообщений: 714
А у меня телефончик без доступа в инет - тупая звонилка. Мне тоже бояться?
 
[^]
Gonchij
29.12.2017 - 20:11
12
Статус: Offline


Псионик

Регистрация: 15.09.10
Сообщений: 1272
Я думал так работает чуть ли не каждый сайт, на котором регистрируешься с мобильника, например. А оказывается лишь некоторые. Странно...
 
[^]
kensajou
29.12.2017 - 20:11
88
Статус: Offline


уральский подмосквич

Регистрация: 23.10.13
Сообщений: 9608
А у меня смартфон. Новый. Но я аккаунт не добавил, в инет с него не выхожу, пользуюсь только СМС и звонками. Ну и будильник ставлю. А сам такой думаю - внешне у меня заебись телефон, а вот что не пользуюсь его функциями и нахуй я вообще его купил, не понимаю. Ну не нужно мне это, бля буду. На кой хер мне по дороге на работу что-то срочно узнавать? Я с утра новости за компом почитал, уехал на работу. Я час еду. Все умрут, блядь, если в этот час что-то произойдёт?

Меня нет ни в одной соцсети. Жены моей тоже. Соответственно, уведомлений таких нет. Мне похую кто там куда ездил и в каком купальнике. Из знакомых. Вообще насрать. Неинтересно. Мне нахуй не надо подпрыгивать из-за рекламного сообщения.

Что срочное - я узнаю и так. Катастрофическое узнаю общей тревогой. А прочая поебень мне неинтересна. И, кстати, большую часть дня у меня телефон на беззвучке. Я реагирую чаще всего только на звонки, мне знакомые. А так - хоть обзвонитесь. До пизды. Уверен, я такой далеко не один

Это сообщение отредактировал kensajou - 29.12.2017 - 20:16
 
[^]
Пэтруш
29.12.2017 - 20:12
2
Статус: Offline


Приколист

Регистрация: 10.03.09
Сообщений: 245
Цитата (cracklover @ 29.12.2017 - 20:02)
информация, изложенная в той статье, наверняка прошла бы мимо 99% читателей и пользователей сотовой связи...
Даже страшно себе представить, какой простор для мошеннических схем сейчас будет открыт...

Ну, теперь, благодаря тебе, и тому чуваку точно мимо некоторых нехороших людей не пройдет!
 
[^]
пАпович
29.12.2017 - 20:12
13
Статус: Offline


тот ещё гад

Регистрация: 24.12.15
Сообщений: 574
очень интересно, но ничего не понятно sad.gif
 
[^]
ыф100
29.12.2017 - 20:16
7
Статус: Offline


Ярила

Регистрация: 26.08.11
Сообщений: 1058
а таким образом эти пидоры могут заменить номер телефона, привязанный к банковской карте?
а то народ уже жалуется
 
[^]
VSkilled
29.12.2017 - 20:18
7
Статус: Offline


Хохмач

Регистрация: 19.09.14
Сообщений: 730
Цитата (EraserEx @ 29.12.2017 - 20:07)
А у меня телефончик без доступа в инет - тупая звонилка. Мне тоже бояться?

Аналогично.

Я уже не в том возрасте, чтобы искусственно создавать себе препятствия для дальнейшего героического их преодоления.

Чем тупее "звонилка" — тем менее она уязвима.
 
[^]
олдбич
29.12.2017 - 20:21
56
Статус: Offline


Ярила

Регистрация: 1.03.15
Сообщений: 1667
Цитата (EraserEx @ 29.12.2017 - 17:07)
А у меня телефончик без доступа в инет - тупая звонилка. Мне тоже бояться?

думаю что тоже.смысл дыры не в том что просто у тебя звонилка или не просто,а в том что злоумышленник может залезть в твой кабинет и намудить там чего нибудь,узнать твоё месторасположение,активировать услуги (тот же интернет)и пока ты не будешь в курсе тебя вгонят в долги,так же может перенаправить трафик на своё устройство и принимать звонки и лазить в интернете,ну или тупо спиздить бабло со счёта мобильного.
а возможно может сэмулировать твою симку и залезть дальше...типа мобильного банка и тд...
но у тебя обычная звонилка,тебе пох..ты даже и не будешь знать что с твоим счётом творится.

ps. всё написанное только мои предположения,не принимай близко к сердцу.
 
[^]
Есенин
29.12.2017 - 20:22 [ показать ]
-24
олдбич
29.12.2017 - 20:23
97
Статус: Offline


Ярила

Регистрация: 1.03.15
Сообщений: 1667
Цитата (kensajou @ 29.12.2017 - 17:11)
А у меня смартфон. Новый. Но я аккаунт не добавил, в инет с него не выхожу, пользуюсь только СМС и звонками. Ну и будильник ставлю. А сам такой думаю - внешне у меня заебись телефон, а вот что не пользуюсь его функциями и нахуй я вообще его купил, не понимаю. Ну не нужно мне это, бля буду. На кой хер мне по дороге на работу что-то срочно узнавать? Я с утра новости за компом почитал, уехал на работу. Я час еду. Все умрут, блядь, если в этот час что-то произойдёт?

Меня нет ни в одной соцсети. Жены моей тоже. Соответственно, уведомлений таких нет. Мне похую кто там куда ездил и в каком купальнике. Из знакомых. Вообще насрать. Неинтересно. Мне нахуй не надо подпрыгивать из-за рекламного сообщения.

Что срочное - я узнаю и так. Катастрофическое узнаю общей тревогой. А прочая поебень мне неинтересна. И, кстати, большую часть дня у меня телефон на беззвучке. Я реагирую чаще всего только на звонки, мне знакомые. А так - хоть обзвонитесь. До пизды. Уверен, я такой далеко не один

а нахуя тебе тогда вообще смартфон?
 
[^]
BigHarry
29.12.2017 - 20:25
9
Статус: Offline


Юморист

Регистрация: 16.12.09
Сообщений: 542
Цитата (cracklover @ 29.12.2017 - 20:02)
Особо подчеркну, что никакие соксы и прокси, vpn, ssh и т.д. и т.п. пока на данный момент не помогут защититься от раскрытия указанных данных!

В прокси squid есть директива request_header_access, с ее помощью можно избавится от нежелательных заголовков, которые может добавить DPI опсоса.
Да и https они вряд-ли поломают, они не смогут незаметно влезть внутрь сессии и внедрить дополнительную информацию.
 
[^]
FHD
29.12.2017 - 20:25
1
Статус: Offline


Читайте этот пост

Регистрация: 19.04.13
Сообщений: 1180
а нахуя открывать страницы в телефоне?
это же телефон!
 
[^]
Schuka
29.12.2017 - 20:26
-2
Статус: Offline


Ярила

Регистрация: 8.04.14
Сообщений: 5489
Цитата
Даже страшно себе представить, какой простор для мошеннических схем сейчас будет открыт...

Большая часть не работает из мобильного браузера.
 
[^]
karas72
29.12.2017 - 20:26
1
Статус: Offline


Юморист

Регистрация: 19.11.14
Сообщений: 517
Зашёл в пруф. Прочитал по диагонали. Вырезал часть текста. Предоставляю.


..."Единственный, кто меня порадовал — представители Теле2. Отвечали быстро и четко, предложили денежное вознаграждение.

Вывод

Любая программа, имеющая доступ в интернет на вашем телефоне с SIM Мегафон, может узнать ваше местоположение с точностью до базовой станции, номер телефона, идентификаторы IMEI и IMSI. С SIM МТС она может получить ваш номер телефона, идентификаторы IMEI и IMSI, а Билайн позволит раскрыть только номер телефона...."

Короче - спасибо, Теле2 и Билайн, но нет.
 
[^]
DonCorleone
29.12.2017 - 20:26
3
Статус: Offline


Юморист

Регистрация: 26.01.15
Сообщений: 460
У меня 21 личный номер. Что блядь я должен теперь делать? Мне страшно alik.gif
 
[^]
MADBegb
29.12.2017 - 20:28
1
Статус: Offline


Мадведь

Регистрация: 4.07.13
Сообщений: 2244
Цитата (олдбич @ 29.12.2017 - 20:23)
Цитата (kensajou @ 29.12.2017 - 17:11)
А у меня смартфон. Новый. Но я аккаунт не добавил, в инет с него не выхожу, пользуюсь только СМС и звонками. Ну и будильник ставлю. А сам такой думаю - внешне у меня заебись телефон, а вот что не пользуюсь его функциями и нахуй я вообще его купил, не понимаю. Ну не нужно мне это, бля буду. На кой хер мне по дороге на работу что-то срочно узнавать? Я с утра новости за компом почитал, уехал на работу. Я час еду. Все умрут, блядь, если в этот час что-то произойдёт?

Меня нет ни в одной соцсети. Жены моей тоже. Соответственно, уведомлений таких нет. Мне похую кто там куда ездил и в каком купальнике. Из знакомых. Вообще насрать. Неинтересно. Мне нахуй не надо подпрыгивать из-за рекламного сообщения.

Что срочное - я узнаю и так. Катастрофическое узнаю общей тревогой. А прочая поебень мне неинтересна. И, кстати, большую часть дня у меня телефон на беззвучке. Я реагирую чаще всего только на звонки, мне знакомые. А так - хоть обзвонитесь. До пизды. Уверен, я такой далеко не один

а нахуя тебе тогда вообще смартфон?

Чтобы на Япе зависать

Отправлено с мобильного клиента YAPik+
 
[^]
Voronezher
29.12.2017 - 20:28
4
Статус: Offline


Ярила

Регистрация: 4.02.13
Сообщений: 2987
Ооо, ну местоположение с точностью до соты - это прямо ужас.
*сарказм
Цитата
номер телефона абонента, закрепленный за SIM-картой, с которой происходит выход в интернет при заходе на такой злонамеренный сайт.

Учитывая, что большинство с мобил сидит в соцсетях, где авторизация по номеру..тоже можно градус паники снизить.
 
[^]
kensajou
29.12.2017 - 20:30
-8
Статус: Offline


уральский подмосквич

Регистрация: 23.10.13
Сообщений: 9608
Цитата (олдбич @ 29.12.2017 - 22:23)
Цитата (kensajou @ 29.12.2017 - 17:11)
А у меня смартфон. Новый. Но я аккаунт не добавил, в инет с него не выхожу, пользуюсь только СМС и звонками. Ну и будильник ставлю. А сам такой думаю - внешне у меня заебись телефон, а вот что не пользуюсь его функциями и нахуй я вообще его купил, не понимаю. Ну не нужно мне это, бля буду. На кой хер мне по дороге на работу что-то срочно узнавать? Я с утра новости за компом почитал, уехал на работу. Я час еду. Все умрут, блядь, если в этот час что-то произойдёт?

Меня нет ни в одной соцсети. Жены моей тоже. Соответственно, уведомлений таких нет. Мне похую кто там куда ездил и в каком купальнике. Из знакомых. Вообще насрать. Неинтересно. Мне нахуй не надо подпрыгивать из-за рекламного сообщения.

Что срочное - я узнаю и так. Катастрофическое узнаю общей тревогой. А прочая поебень мне неинтересна. И, кстати, большую часть дня у меня телефон на беззвучке. Я реагирую чаще всего только на звонки, мне знакомые. А так - хоть обзвонитесь. До пизды. Уверен, я такой далеко не один

а нахуя тебе тогда вообще смартфон?

читай внимательно - пишу же, что нахуй я его вообще купил. Сдох мой кнопочный, купил новый. Вот так вот, блядь. Поддался трендам. Всё умею, но не нужно мне лично это обилие функционала.

Это сообщение отредактировал kensajou - 29.12.2017 - 20:33
 
[^]
cracklover
29.12.2017 - 20:30
0
Статус: Offline


Весельчак

Регистрация: 30.07.12
Сообщений: 134
Цитата (BigHarry @ 29.12.2017 - 20:25)
Цитата (cracklover @ 29.12.2017 - 20:02)
Особо подчеркну, что никакие соксы и прокси, vpn, ssh и т.д. и т.п. пока на данный момент не помогут защититься от раскрытия указанных данных!

В прокси squid есть директива request_header_access, с ее помощью можно избавится от нежелательных заголовков, которые может добавить DPI опсоса.
Да и https они вряд-ли поломают, они не смогут незаметно влезть внутрь сессии и внедрить дополнительную информацию.

Спасибо за отличное дополнение, но Вы то уж точно понимаете что, например, XSS и просто "загоны" массой способов на "нужные" страницы - никто не отменял? А с учетом, что для большинства слова типа "dnscrypt" звучат как ругательство, дальнейшие схемы даже упоминать страшно в случаях объединения с подменой dns.
 
[^]
Witaly
29.12.2017 - 20:30
4
Статус: Offline


Ярила

Регистрация: 28.03.13
Сообщений: 6466
Цитата (EraserEx @ 29.12.2017 - 21:07)
А у меня телефончик без доступа в инет - тупая звонилка. Мне тоже бояться?

Вы жалуетесь или хвастаетесь?
 
[^]
Bona25
29.12.2017 - 20:30
4
Статус: Offline


Ярила

Регистрация: 19.06.09
Сообщений: 10937
Зашел с рабочей симки, перезвонили и номер телефона мой на сайте нарисовался. Питер.
 
[^]
Scrat80
29.12.2017 - 20:32
6
Статус: Offline


Ярила

Регистрация: 11.01.14
Сообщений: 1871
Ну номер телефона абонента вообще то определяется и так и без уязвимости. Местоположение- ну узнали вы и дальше что? Тем более что такая услуга тоже есть. IMEI устройства- ну и чего? Ну узнали , дальше что? В чём паника то?
 
[^]
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей) Просмотры темы: 48176
0 Пользователей:
Страницы: (6) [1] 2 3 ... Последняя » [ ОТВЕТИТЬ ] [ НОВАЯ ТЕМА ]


 
 



Активные темы








Наверх