Comments 121
*Побежал в магазин за симками*
Баг был в конкретном регионе?
У йоты есть другой забавный баг, который позволяет пользоваться интернетом с отрицательным балансом.
Достаточно включить и включить режим "в самолёте". В первый десяток секунд после регистрации в сети интернет будет без ограничений.
Тоже особенность DPI, я полагаю
Так, как я понимаю, денежное вознаграждение вы получили только от TELE2? Остальные компании просто частично закрыли уязвимости и проигнорировали Вас? Если так, то это печально, что такие крупные компании кладут большой болт на безопасность своих пользователей. И даже когда им приносят уязвимости на блюдечке — они на это забивают.
У меня проблема по приватности в Билайне была года 2 назад. Я купил симку для роутера и раздавал Wi-Fi небольшой группе лиц. Но при этом каждый подключившийся мог зайти на сайт beeline.ru, попасть в ЛК, отключать/подключать услуги, заказывать детализации и так далее — творить с SIM-кой всё что хочешь. Я писал им, мол "скажите как отключить этот автовход, чтобы можно было входить только по логину/паролю". В результате тогда никакой настройки не было, если ты входил с мобильного интернета этой симки — мог автоматически попадать в ЛК. И они это объясняли "Это создано для удобства пользователей". Тогда эта проблема так и не решилась, не знаю как сейчас. Может ввели отключение этого автоматического автовхода.
Был схожий проект у Access Now — Am I Being Tracked?. Там ещё есть прикольный список хэдеров, который для некоторых использований может быть полезен.
Только это не обязательно DPI. Header enrichment существовал и до того, как операторы стали DPI ставить, и зачастую энричмент делается еще до того, как пакет попадает на DPI.
Как вы считаете, «обычный прокси» такими данными обладает? ;-)
Инфу по стандарту для телекомов и разным вендорам можно искать по запросу «3gpp header enrichment».
Как вы считаете, «обычный прокси» такими данными обладает?Вопрос заключался в том, что это за система, которая добавляет заголовки: она ближе к прокси-серверу, или к DPI? Мои тесты показывают, что эта система работает как DPI.
Потому что нет D=«Deep».
Добавляемые данные могут быть использованы в модуле DPI для облегчения каких-то задач. Но обычно они применяются для работы обычных массовых сервисов, типа «самообслуживания».
Возможность получения этих данных во внешней сети — безусловно ошибка настройки. Ошибка для абонента неприятная, потому что допускает разные векторы эксплуатации и абонентом не контролируется.
И вот еще мысль: может стоит еще раз связаться с представителями операторов, не упоминая «DPI» в материалах? Пусть сами маршрутизируют. Может так заявка попадет «по адресу» и ошибку быстрее исправят.
Не думаю что это правильный подход. С тем же успехом можно предложить автору устраивать одиночные пикеты с плакатом описывающим уязвимость возле офисов опсосов. Автор обращался к представителям опсосов, чья функция как раз и состоит в обслуживании подобных обращений, а то что им было важней покормить кошку и сходить на рыбалку — не его проблема. Пусть об этом болит голова у их нанимателя.
На Yota тоже есть способ получения бесплатного интернета, но не такой простой.
Что же будет, если это решит кто-то использовать в международном роуминге?МТС заблокировал мое устройство по IMEI при такой попытке.
Я также записывал видео с демонстрацией, но и на это не получил ответа.
Удивлен что операторы не прискакали и не попытались получить информацию о такой дыре, у них есть fraud отделы, которые должны кричать «аларма, аларма». Наверное пытаются наехать на вендоров, что за фигня.
Любой нормальный руководитель тут собрал бы такой аврал, что гайки затянули бы в 24 часа. Но что они сделали?На самом деле не так. Крупные организации работают немного по-другому: т.к. организация большая, то у них список дел расписан на каждого человека на годы вперед(условно). Отвлекаться на докручивание гаек — стоит денег (рабочего времени, как ни странно).
Собственно, скорее всего был такой диалог:
-Внимание, подчинённые! Один очень прошаренный чел нашел хитрую лазейку. Давайте посчитаем, сколько примерно людей этой дырой пользуются?
-Сэр, мы всё подсчитали — пользуется менее 0.01% абонентов, и потери около 1 млн.руб в месяц, и то говорить однозначно сложно, т.к. у нас подсчёт трафика идёт на поддомены. Мы смотрели лишь подозрительно большие объёмы, поэтому судить точно не можем.
-Окей. Сколько нам будет стоить времени и денег донастроить все DPI по всем регионам, да так, чтобы ничего не отвалилось (проверка баланса, пополнение счета при нулевом балансе)?
-N миллионов, сэр. И то есть большой шанс поломать личные кабинеты в некоторых регионах, потому-что DPI штука тонкая…
-Значит, на 0.01% всего 1 млн. рублей в месяц. Когда эта цифра станет = N миллионов на фикс, тогда и займемся. Пока займитесь другими более важными делами.
— Я повторюсь, что в больших организациях всё работает по-другому. Там нет «один большой оператор». Там есть отделы, бизнес-направления, итд. Есть бизнес-направления: физики, юрики, итд. Вот этот конкретно относится к потерям физиков. Вы можете подумать, что ваш вопрос относится к безопасникам, так вот нет — этот вопрос относится к бизнес-подразделению, потому-что фикс должны будут оплачивать они, а не безопасность. И бизнес-подразделение уже решает — тратить ли на эту «мелочь» ресурсы, или нет.
Ну, бизнес-отделы такое часто не учитывают. Если надо будет — надавят на оператора "на которого надо переходить" административными методами, что б долю рынка сохранить. Это и проще и привычнее, чем за имиджем и данными клиента следить.
не учли ещё один большой риск — наличие вот такого поста, который очень быстро разошёлся по всему рунетуА им и не надо это учитывать. Я же писал:
Когда эта цифра станет = N миллионов на фикс, тогда и займемсяТ.е. когда эта проблема станет проблемой — ей и займутся. А до тех пор, пока она никому особо не вредит, ею и нет смысла заниматься (нерационально тратить ресурсы).
Это технический ресурс. Новостные ресурсы переработают этот пост в стиле "Учёный изнасиловал жарналиста".
*существенно* дешевле
Кроме того пилят DPI сторонние организации, а это допиливание стоит вполне серьезных денег. Уж так сложилось, что выделение этих денег для крупной организации процесс весьма небыстрый.
Подозреваю, что у теле2 в вашем регионе сейчас идет период тестирования и приеемки софта, и найденные вами баги просто были внесены в техническое задание поставщику.
Конечно я понимаю, что ковбоев не волнуют проблемы индейцев, но в данном случае операторам надо просто дать время.
В статье описаны проблемы обогащения заголовков. Это тоже не DPI и применяется для совершенно других целей.
HTTP-запросы на любой IP-адрес и порт 80 с заголовком Host, указывающим на служебный домен, не расходуют трафик из пакета и работают даже при отрицательном балансе.Скажите, и в магазине можно так же стенку приподнять? (с)
1. На основании какого права оператор вообще лезет в трафик абонента?
2. Что в связи с этим будет запротоколировано по «закону Яровой»?
3. Существует вероятность (ИМХО, очень большая вероятность), что ТС выявил далеко не все «нюансы» работы операторов связи. Возможно операторы балуются гораздо сильнее (скажем, дорабатывают не только заголовок). Ссылка на описанный факт возможно кому-то поможет при его уголовном преследовании, скажем за экстримизм в высказываниях. Ведь в настоящий момент возникло сомнение в добропорядочности операторов сотовой связи, а сомнения в Уголовном праве трактуются в пользу обвиняемого.
window.onload
, из-за чего ломались некоторые сайты. Но те, кто не перевел свой сайт на HTTPS, должны страдать.Билайн вмешивается в трафик пользователей
В том числе и по этому сайты форсируют переключатся на https.
www.cisco.com/c/dam/en/us/td/docs/wireless/asr_5000/15-0/15-0-PGW-Admin.pdf
Правильно я понимаю, что воспользоваться этой уязвимостью можно только установив приложение, которое не запрашивало доступ к геолокации/READ_PHONE_STATE, но получило доступ к таким данным? Произвольны вебсайт через браузер не получит же доступ к манипуляции заголовками запроса.
заголовки, про которые идёт речь в статье, ставит опсос при запросе к сайтам из некоторого списка. На это можно повлиять, если подпихнуть правильный заголовок Host
. Что страшного в том, что сайт опсоса будет знать мой номер?
<?php
if (!function_exists('getallheaders')) {
function getallheaders()
{
if (!is_array($_SERVER)) {
return array();
}
$headers = array();
foreach ($_SERVER as $name => $value) {
if (substr($name, 0, 5) == 'HTTP_') {
$headers[str_replace(' ', '-', ucwords(strtolower(str_replace('_', ' ', substr($name, 5)))))] = $value;
}
}
return $headers;
}
}
$headers = getallheaders();
print_r($headers);
тычем в него курлом, как описано.
Даже не знаю, что там может не работать, попробуйте предельно упрощенный вариант.
<?php
$headers = array();
foreach ($_SERVER as $name => $value) {
if (substr($name, 0, 5) == 'HTTP_') {
$headers[$name] = $value;
}
}
print_r($headers);
<?php echo "<pre>",print_r($_SERVER,1),"</pre>";
Специалисты компании анализируют информацию и работают над устранением уязвимости. Мы проводим работу по поиску и устранению уязвимостей постоянно.
технари обещали больше не издеваться.
Слово, кстати, сдержали. Прислали таинственный
null
, и меня избавили от ежедневных «лохотронов» — «перейти к обзору интернета» при работающем телефонном соединении.Вы очень переоцениваете влияние наличия вот такого поста на конечную прибыль опсоса
Так что всё правильно на мой взгляд: дырочка (уязвимость) у мегафона куда меньше, чем общая огромная дыра в кармане «обутых в лапти» клиентов. Чего там затыкать…
Или, что можно было встретить лет 5 назад, простой заход на подозрительный веб-сайт или клик по рекламному баннеру из Android-игры оборачивался автоматической подпиской на платную услугу, о чем можно было узнать из СМС-сообщения.
Ха, три месяца назад (в сентябре 2017) зашёл через мобильный интернет от мегафона посмотреть картинку на радикале (де факто стандартный фотохостинг). Открываю радикал, приходит СМС, что я подписался на услугу доступа к радикал фото, 30 рублей в день.
Интересно, радикал об этом знает?..
(это просто вопрос, я в деталях не ориентируюсь)
Хотел было выставить их где-нибудь на доску позора, да махнул рукой. Толку-то…
vk.com/topic-18098621_29664788
Нужно всего 24 часа, чтобы исправить такую уязвимость, если о ней сообщено публично, а не 365 дней, если об уязвимости сообщать напрямую.
Разделение заголовков все еще работает, переделаю, как будет время.
МТС отключил номер, с которого звонил нигра. Чем-то он им не понравился.
Это оголтелый расизм, друг мой, соловей!
Разделение заголовков все еще работает, переделаю, как будет время.
Сколько ни пытался — не работает из браузера. DPI буферизирует запрос и всегда делит заголовки таким образом, чтобы имя заголовка не разделялось на несколько пакетов.
Может, сработает, если подстраивать размер самого заголовка, а не значения.
Уже часть пофиксили, остальное сегодня залатаем. Спасибо!
Поэтому NAT в каждом региональном подразделении необходим, от него не уйти.
Вспомнил, что года 3-4 назад у МТСа был баг, позволявший получить доступ в интернет при нулевом балансе. Для этого нужно было раз 10-15 попытаться загрузить страницу через Opera Mini, и после этого на какое-то время интернет начинал работать. Уж не знаю, работает ли это сейчас — не проверял. Но уязвимость очень странная...
Если это не Теле2, рекомендую не связываться с операторами, а сразу делать full disclosure публично. Контакты службы безопасности скрывают так, будто это что-то сверхсекретное.
pomf.pyonpyon.moe/gmtujc.patch
a.sinister.ly/btbyib.patch
comfy.moe/padrvf.patch
a.doko.moe/uaflyy.patch
up.vidyagam.es/20d86d32-a7b2-4361-9d2e-a36b4fc54c45-sspatch_v2.patch
a.vidga.me/ssuskk.patch
dl.asis.io/cobTAplU.patch
a.rfl.pw/m/YDNLR.patch
DPI мобильных операторов: от бесплатного интернета до раскрытия номера и местоположения