Pull to refresh

Новая дыра в безопасности Мегафона позволяет взламывать счета абонентов

Information Security *Development of mobile applications *
На один из наших корпоративных сотовых телефонов была совершена почти успешная хакерская атака.
К счастью, довольно быстро удалось разобраться откуда «растут ноги».
Мы обнаружили очередную «дыру» в защите Мегафона, чем с вами и делимся.
Она касается всех абонентов сети.

Несколько дней назад я сообщил в абонентскую службу о «дыре» на сайте Мегафона. На момент 08.04.2013 уязвимость не исправили.


Схема изящная и простая, как топор. Позволяет воровать деньги с вашего счёта без вашего ведома.

Итак, у Мегафона есть нужная и полезная вещь — СервисГид. В нем можно управлять услугами без длительного голосового общения «ваш звонок очень важен для нас».
И вход в него сделан правильно, не позволяя выполнять взлом через подбор пароля. Простая, но капча присутствует.

Всё бы хорошо, но капча вредит юзабилити сайта. Дизайнеры иногда побеждают здравый смысл. Есть портал, дублирующий функции телефона messages.megafon.ru, вход в который не защищён от автоматического перебора паролей:

MegaHole - дыра в безопасности Мегафона

Но пара логин-пароль для входа используется та же, что и для СервисГида.
СервисГид позволяет управлять услугами, подключать тарифы, настраивать уведомления.

Что делали воры?

  1. С помощью этого SMS-сайта подбирают (видимо, простым перебором) пароль от СервисГида, и входят.
  2. Они получают доступ и в СервисГид: к чтению входящих SMS и к их отправке.
  3. Выполняют подписку на платные сервисы (дурацкий МегафонПро, моё оценочное мнение).
  4. По подписке приходит SMS с кодом подтверждения.
  5. Вводят этот код на сайте подписки.
  6. Получают агентские проценты от Мегафона за списанные деньги с вашего счета по платной подписке.

Обработав так автоматически и массово тысячи телефонов можно заработать неприличные деньги.

К чести специалистов оператора сотовой связи стоит отметить, что в момент входа в СервисГид и в этот «SMS-сайт» приходит SMS-уведомление.

В моём случае вход в SMS-портал произошёл в 00:23 минуты, в это время я бодрствовал, и сразу через мобильный интернет сменил пароль от СервисГида на более стойкий.
К сожалению, смена пароля не разлогинивает пользователя с SMS-сайта Мегафона, и злоумышленики могут там сидеть до сих пор.
Воры не успели войти в СервисГид раньше меня. Возможно, их частый ввод уже не актуального пароля в сам СервисГид привёл к его блокировке. Но если я не успел поменять пароль — кто знает, что бы они учудили.

В течение суток дважды приходили коды подтверждения платных подписок. Они продолжают приходить и сейчас.

Меры защиты от этой атаки для Мегафона:

1. Поставить защиту от автоматического входа сюда messages.megafon.ru и больше так не шутить — ВЫПОЛНЕНО
2. Разрешить использовать латинские буквы в пароле СервисГида
3. Сделать разными пару логин/пароль для СГ и SMS-сайта

Меры защиты для абонентов:

0. Вообще не пользоваться СервисГидом, но если уже начали
1. Поставить более стойкий пароль на СервисГид, например
2. В любом случае сменить пароль от СервисГида
3. В СервисГиде или в абонентской службе заблокировать применение любых платных сервисов или подписок, списывание денег с коротких номеров. Для абонентов Мегафона — это бесплатная услуга "Стоп-контент".

Спасибо за внимание. Всем желаю безопасной связи и безглючного биллинга.

ZERO UPDATE: Полезная ссылка по теме от KiiA www.mobile-review.com/articles/2013/ums-podpiski.shtml
UPD1: Свежая статья на Хабре "про СервисГид"
UPD2: 9 апреля 2013 Мегафон добавил капчу на форму. Основная брешь закрыта! Спасибо сотрудникам Мегафона за довольно оперативную реакцию.
UPD3: Ответ Мегафона в комментариях к статье.
UPD4: Ещё статья про дырки Мегафона — свежие, ещё не закрыты!

UPDATE2015 — дыру не закрыли! Сообщение от хабрачитателя из Волгограда:

Капча есть, но она ничего не защищает.
Если ввести неверный логин-пароль и любую капчу, то мы увидим сообщение «не верный логин/пароль».
А если мы напишем правильный логин-пароль и любую капчу, то увидим «не верная капча».
Таким образом, можно бесконечно по прежнему брутить форму.
А капча понадобится только при залогивании.
Для брута капча не помеха, можно писать 1111 в поле капчи всегда и нормально брутить.

— уязвимость исправлена, Мегафон молодцы!
Tags:
Hubs:
Total votes 159: ↑147 and ↓12 +135
Views 170K
Comments Comments 94