Глупая уязвимость в приложении «Мой билайн»

Эта короткая история состоит из двух частей:


  1. Обнаружение уязвимости, появившейся, скорее всего, из-за невнимательности разработчиков;
  2. Сообщение о находке в Билайн.

Но этого поста не появилось бы, если бы все было так просто.


Часть 1. Что произошло?


Вчера, отлаживая свое приложение в Android Studio, я открыл Logcat, и увидел что там промелькнул "Мой билайн". Ну и что? У меня действительно установлено это приложение. Многие приложения что-то пишут в лог.


Но. Это оказался лог HTTP запроса и ответа. Опять же, это не так страшно. Ссылка запроса к API, сообщение об успешном ответе.


Но. В логе помимо ссылки оказались также хедеры и тело запроса, в т.ч. json содержимое (заботливо отформатированное) и token сессии.


Дальше можно просто сделать себе попкорн, отфильтроваться по ключевому слову "beeline" и наблюдать за сетевой жизнью приложения.


Часть 2. Бьём тревогу.


Разумеется, так это оставлять нельзя. Не раздумывая, иду на сайт упомянутой выше компании, пробегаю глазами по диагонали и не нахожу ничего лучше предложения начать чат с поддержкой прямо на сайте. Разумеется, натыкаюсь на фейс-контроль в виде чат-бота.


Далее последовал следующий диалог:


Диалог с ботом

Бот: Благодарим за обращение в наш чат. Задайте вопрос и наши специалисты помогут найти решение.


Я: Добрый день, случайно обнаружил в вашем android-приложении уязвимость, куда я могу о ней сообщить?


Бот: iMessage и FaceTime — технологии, разработанные компанией Apple, предоставляемые за отдельную плату. Для использования необходимо интернет-соединение. iMessage – позволяет отправить текстовое сообщение другому пользователю iMessage. Отключение сервиса возможно в настройках Вашего устройства: "Настройки"- "Сообщения" — "iMessage" — отключить. FaceTime — программа, с помощью которой Вы можете совершать видео- и аудиозвонки между устройствами Apple. Отключить эту опцию также можно в настройках Вашего аппарата: "Настройки"- "FaceTime" — отключить. Если у Вас по-прежнему остались вопросы о возможностях в рамках данного сервиса, то Вы можете обратиться в тех. поддержку Apple IPhone: 8-800-555-67-34 (звонок бесплатный).


Я: Что?


Бот: Уточните, пожалуйста, что именно Вас интересует.


Я: Случайно обнаружил в вашем android-приложении уязвимость, куда я могу о ней сообщить?


Бот: iMessage и FaceTime — технологии, разработанные компанией Apple, предоставляемые за отдельную плату. Для использования необходимо интернет-соединение. iMessage – позволяет отправить текстовое сообщение другому пользователю iMessage. Отключение сервиса возможно в настройках Вашего устройства: "Настройки"- "Сообщения" — "iMessage" — отключить. FaceTime — программа, с помощью которой Вы можете совершать видео- и аудиозвонки между устройствами Apple. Отключить эту опцию также можно в настройках Вашего аппарата: "Настройки"- "FaceTime" — отключить. Если у Вас по-прежнему остались вопросы о возможностях в рамках данного сервиса, то Вы можете обратиться в тех. поддержку Apple IPhone: 8-800-555-67-34 (звонок бесплатный).


Я: что происходит?


Бот: Переформулируйте, пожалуйста, Ваш вопрос.


Я: Случайно обнаружил в вашем android-приложении уязвимость, куда я могу о ней сообщить?


Бот: iMessage и FaceTime — технологии, разработанные компанией Apple, предоставляемые за отдельную плату. Для использования необходимо интернет-соединение. iMessage – позволяет отправить текстовое сообщение другому пользователю iMessage. Отключение сервиса возможно в настройках Вашего устройства: "Настройки"- "Сообщения" — "iMessage" — отключить. FaceTime — программа, с помощью которой Вы можете совершать видео- и аудиозвонки между устройствами Apple. Отключить эту опцию также можно в настройках Вашего аппарата: "Настройки"- "FaceTime" — отключить. Если у Вас по-прежнему остались вопросы о возможностях в рамках данного сервиса, то Вы можете обратиться в тех. поддержку Apple IPhone: 8-800-555-67-34 (звонок бесплатный).


Совершенно не представляю из-за какого ключевого слова бота так передергивало. Мне быстро наскучил этот разговор с автоответчиком. Попробовал другую комбинацию и, о чудо, на меня снова вывалили справочную информацию, но в конце все-таки предложили поговорить с реальным человеком. Ура, появился некий Олег, изучил мой диалог с роботом (вероятно вздохнул с облегчением, что роботы его пока не заменят) и посоветовал мне описать мою находку со скриншотами на почту otvet@beeline.ru (ее упоминания на сайте я не нашел, может плохо искал). Затем Олег поблагодарил меня за помощь и ушел выручать других роботов.


Я, обрадованный прогрессу, написал на указанную почту следующее:


Мое письмо

Добрый день


Случайно обнаружил, что android-приложение «Мой билайн» сливает в лог все запросы к API вместе с токенами и json содержимым. По-моему, это уязвимость.


С уважением,
Козлов Михаил


Довольный собой, сделал себе кофе и продолжил работать. Сегодня пришел ответ.


Ответ

Здравствуйте, Михаил!


Не совсем понятно, что именно у Вас не работает. Более подробно опишите Вашу проблему.


Спасибо, что пользуетесь услугами «Билайн».


С наилучшими пожеланиями,
Некрасов Вячеслав,


Служба поддержки Клиентов «Билайн».


После facepalm-ритуала, удержавшить от написания сообщения о том, что не работает не у меня, а у них: чат-бот, служба поддержки и разработчики приложения, я более подробно описал проблему.


На этот раз долго ждать не пришлось, ответ пришел через пять минут.


Вот он

Уважаемый клиент! Мы стремимся идти в ногу со временем и оказывать сервис в актуальных каналах коммуникации. Нам важно, чтобы Вы получали обратную связь от нас как можно скорее. Поддержка через e-mail недоступна. Для того, чтобы получить моментальный ответ на любой вопрос, приглашаем в чат со специалистом на сайте: https://beeline.ru/customers/pomosh/ или в Мобильном приложении: https://beeline.ru/dl! Обращаем внимание, что это письмо сформировано автоматически и ответ на него не требуется. Ждем Вас в чате на сайте или в мобильном приложении. Ваш Билайн!


Share post

Comments 88

    +20
    На уязвимость конечно тянет слабо: токен ваш, приложение на вашем устройстве и логи ваши. Если трафик зашифрован, то никто не страдает. Практически у любого приложения можно также посмотреть всю активность используя тот же Fiddler со своим сертификатом.
    Но история как вы пытались уязвимость донести… это нечто! В случае реальной уязвимости гораздо проще было бы её продать :)
    Есть один вариант донести уязвимость до практически любой компании максимально быстро — twitter. Когда актуальный вопрос публикуется в открытом виде, то реакция практически мгновенная.
      +3
      Вероятно, хабр в этом плане тоже неплох.
        +2
        Да, я согласен, что прямой и опасной уязвимостью это не является, но обнаружение таких подробностей в логах релизной сборки для меня стало большой неожиданностью.
          +1
          Неаккуратненько, да.
          Раньше у 2ГИС было приложение которое определяло входящие номера, оно в логи писало все входящие звонки и какие-то сопроводительные данные. Мечте криминалиста просто :)
          0
          Другие установленные приложения имеют доступ к logcat, а значит разработчик мобильного приложения может прочесть этот лог и переслать себе.
            +4
            Начиная с какого-то Андроида доступ к логам требует рута.
              0
              Ну так себе защита, учитывая сколько людей рутят свои смартфоны ради «красивых плюшек» или большего контроля над системой
                +1
                Но если у приложения есть root доступ, то оно и так может прослушать трафик/память всех приложений.
                  0

                  Да, по сути это так, но это не означает, что нужно оставлять дверь открытой, если у вора есть отмычка

            0
            В твиттере к тебе придет веселый бодрый СММщик попросит написать твои данные что бы они на своей стороне проверили «подключеная ли данная услуга» а потом скажет что ничего не нашли и хорошего дня. Часть услуг у них просто сломана сейчас, а обращения в поддержку ничем не заканчиваются.
              0
              Хабр в таких ситуациях лучше всего, компании реально подключают админов к проблемам, которые тянутся годами, но при заявлении о которых ТП любезно благодарит и заявляет, что лучшие мировые специалисты уже работают над ней не покладая рук. Собссно на этом все и заканчивается, но стоит настрочить статью на Хабре или написать о ней в комментах под статьей в корпоративном блоге компании, проблема решается буквально за сутки (и я не утрирую). Сейчас с Шопотамом бодаюсь, у них слетает авторизация каждый раз при заходе, однажды слетела прямо при заполнении декларации. Обычно в таких случаях я начинаю с общения с ТП, на третье обращение с вопросом из разряда «Ну что там, как успехи?», девушка заявила, что эта проблема не так просто решается, но наши специалисты над ней работают. Надеюсь что это на самом деле так, поэтому жду, но через пол годика подумываю накатать по этой теме статью о том, что проблема со слетающей авторизацией на сайте «не так просто решается». С REG.RU тоже помнится, не сохранялись данные профилей для регистрации, один коммент — и проблема решилась буквально за неделю, хотя с ТП я переписывался чуть ли не полгода. В таких ситуациях мне всегда одно интересно: неужели никто другой не обращался до меня с этой проблемой?
                0
                Согласен, twitter и не плохая награда в виде кэша, можно было под суетится, а не писать в поддержку что у Вас там дырочка образовалась. С другой стороны на стороне клиента это да все ровно. Ну а если на стороне клиента троян проснется и тут на тебе ему даже не придется перехватывать просто логи читай ))))
                +26
                К середине истории автор настолько устал от общения с ботами, что решил всё бросить на полпути, в т.ч. и статью.
                  +3
                  Если хотите, можете рассматривать текст под последним спойлером, как goto к диалогу с ботом :)
                    0

                    Я бы рассматривал это как goto к разговору с ещё одним сотрудником ТП, а вот что он ответит — уже интересно.

                  +1
                  Сам имею опыт общения с «Менеджером поддержки» в лице тупейшего на нынешний день бота компании Билайн. Общаться пытался через приложение и так не нашел комбинацию как выйти на диалог с реальным человеком. Хотя и телефонный разговор с реальным менеджером не лучше, чем с ботом.

                  А токен можно использовать для полноценного доступа к апишке без необходимости получать привилегированные права в системе. А это наверное скрывает в себе много интересных фишек, таких как подписки на платные сервисы)
                    0
                    Я когда хочу связаться с человеком, несколько раз подряд боту скармливаю слово «оператор» и когда уже реальный человек мне отвечает, излагаю суть проблемы.
                      +4
                      Я всегда пишу: «Дай оператора, ботяра» — помогает.
                        0
                        «Позови человека» тоже работает)
                      +7
                      Увы, у Билайна и МТС сотрудники службы поддержки слабо отличаются от ботов
                        +2
                        Да и обсуждаемое приложение писал похоже не совсем человек.
                        0
                        Мне помогает такой хак: выйти на саппорт домашнего интернета (имеется, никаких нареканий, кстати, что не скажешь о телефонной связи в наших бубенях). Там нормальные люди, и они дальше на живых переключают :)
                        +7
                        Вспоминаю свои попытки достучаться до мобильных операторов, это было очень больно.

                        Небольшая предыстория: нашел у операторов большой четверки разные уязвимости (некоторые — достаточно серьезные, позволяют взламывать аккаунты на сервисах с СМС авторизацией (не SS7 проблемы, если что :) ). На черный рынок продавать очень не хотелось, поэтому стал пытаться написать операторам.

                        Теле2: дали адрес почты службы безопасности, сказали, что это единственный контакт. Полгода пытаюсь получить хоть какой-то ответ на почту, нет ничего. Обычная служба поддержки говорит, что это единственный контакт и «Надеемся, что служба безопасности ответит вам»

                        МТС: обещали передать информацию разработчикам, я отправил пару средних по опасности багов и добавил, что если им интересны более серьезные уязвимости, то я буду ждать писем от специалистов компании, чтобы общаться напрямую. Исчезли, на дальнейшие сообщения не реагировали.

                        Билайн: сказали, что служба безопасности не общается с клиентами, предложили передать данные (практика показывает, что в такой ситуации не будет никакого ответа и дальнейшего взаимодействия). К счастью, нашел адрес службы разбора конфликтных ситуаций, там предложили сертификат белого хакера, который ценится в профессиональном сообществе. Это было последнее письмо от них, больше ответов не было.

                        Мегафон: сначала служба поддержки предложила написать бумажное письмо (!) в Москву, но потом я нашел сотрудника компании, который согласился передать информацию нужным отделам. Взаимодействие продолжается, пока это единственная компания, которая что-то делает.
                          +18

                          Не переживайте. О Вас вспомнят, когда кто-то другой найдет эту же уязвимость и её успешно проэксплуатирует с заметными последствиями. Тогда Вы станете первым подозреваемым.

                            0
                            Билайн: сказали, что служба безопасности не общается с клиентами

                            Очень даже общается, когда сообщаешь о мошенничестве. Но, видимо, это единственное исключение из правил.
                            +2

                            Как-то раз меня убеждали сменить банк и среди аргументов было:


                            Смотри тут в чатике даже не нужно ждать ответа специалиста в большинстве случаев! Ты просто пишешь "Какой процент за переводы туда-то". И тут же получаешь ответ!

                            Нет уж, лучше я 5-10 минут (время реакции поддерки в текущем банке) подожду, но поговорю с человеком.

                              0
                              К сожалению, тенденции удешевления и аутсорсинга колл-центров приводят к тому, что живой оператор не умнее бота и разговаривает 10 фиксированными фразами с листочка на столе. В лучшем случае он может перевести на Галю, у которой есть второй листочек. В худшем — только извиниться и пожелать хорошего дня.

                              В самом же плохом случае кнопок для решения проблем нет не только у операторов, но и у реальных сотрудников в офисах. Когда они носят гордые бейджики с должностями руководителей, но по факту могут только посочувствовать, хочется биться головой об пол.
                              +15
                              Ритуал вызова живого сотрудника таков, спросите у бота «как перейти в мтс с сохранением номера»
                              Тоже обращался к ним на эту почту и тоже не смог им потом ответить, такое же письмо приходило что нет поддержки по почте.
                                +6
                                Ритуал работает) Ответили моментально
                                  +2
                                  Работает! Смекалочка!
                                  +1
                                  Два варианта:
                                  — удалить приложение,
                                  — устроится программистов в пчелайн и исправить изнутри проблему.

                                  А с их бот-стенами и е-мельницами биться… нужно иметь много времени и желания.
                                    +1
                                    Вариант номер два для м`сье, любящих извращения?)
                                    +15
                                    image
                                      +3

                                      А где же, пунктуация?

                                        +5

                                        А вот же, она!

                                          +1
                                          А где же, пунктуация?
                                          Ответ через рекурсию
                                          image
                                        +2
                                        Пока уязвимость не эксплуатирована — это лишь теория. Поэтому у «пчелки» полет нормальный. Так что, пилите еще статейку, где будете перехватывать миллионы сессий. Вот тогда «пчелка» засуетится
                                          –1
                                          Действительно. Тупизна ботов и неудобность голосового меню службы поддержки удручают. А пункт голосового меню выхода на живого оператора последние годы вообще убрали. Нет. не спрятали в дебрях, а просто убрали и зациклили тупые никчёмные варианты. Даже ожидание не помогает.
                                          Однако выйти на человека всё же можно. Нужно громко ругаться, пока звучат реплики голосового меню. Видимо там у них детектор агрессивного тона стоит и сильно недовольного клиента они все же ставят в очередь к оператору.
                                          Не знаю. может это имиф такой, но у меня стойкое ощущение, что чем громче орёшь и ругаешься на автоответчик, тем быстрее приходит оператор. Попробуйте=).
                                            0
                                            Не надо громко орать и ругаться — это непродуктивно и плохо влияет на цвет кожи, а так же фраппирует окружающих.
                                            Просто попробуйте позвонить в службу поддержки с номера другого опсоса или со стационарного телефона. Будете приятно удивлены — время ожидания сокращается в разы.
                                              0
                                              Нужно провести эксперимент. Определённо.
                                                0
                                                Вот прямо сейчас ещё раз проверил.
                                                Билайн — с городского (ростелекомовского номера) одна минута сорок секунд до ответа живого оператора.
                                                С мобильного билайновского номера — две минуты только непроматываемого голосового меню, плюс постановка в очередь ожидания на минуту.
                                            +6
                                            Скоро автор узнает, что такое сниффер, и будет не только токены перехватывать, но и целые хэши! Что ни пакет, то новая уязвимость!
                                            • UFO just landed and posted this here
                                                0
                                                Скорее всего это была уязвимость типа «дай-ка я у тебя в свою почту зайду»
                                                • UFO just landed and posted this here
                                                    0
                                                    Если отбросить всё совершенно невозможное, тогда то, что останется, каким бы невероятным оно не было — оно и будет истиной (с)
                                                    • UFO just landed and posted this here
                                                  0
                                                  ходить по письмам пробовали?
                                                  Был лет 15 назад в офисе одной телекомпании, там похоже работал кэширующий прокси. Там в свою почту проблемно попасть было.
                                                  Было приблизительно так: Внутри локальной сети телекомпании находилась еще маленькая локалка со своим роутером и четырмя ПК, прокси находился в «наружной» локалке.
                                                0
                                                У билайна очень больше проблемы с коммуникацией. Мы от лица компании пытались акты сверок сделать в течении полугода, куда уж им до обработки уязвимостей.
                                                  0
                                                  Общение с ботом напомнило классику
                                                  “В ответ на ваш номер такой-то от такого-то сообщаем вашей телеграммы поняли колеса вы не получили самолет колесами потерпел аварию горами азербайджана Сидоров катапультирован понижен должности лишен наград колеса раскатаны местными жителями по аулам ждите сообщений”.

                                                  (с) Жванецкий, «Дурочка»
                                                    +2
                                                    А сейчас почти всеми российскими компаниями усложняются процедуры обращения к технической поддержке. Попробуйте дозвониться до «Сбербанка», «Ростелекома», того же «Пчелайна», не зная секретных комбинаций цифр. Думаете, ноль нажмёте, и сразу же достучитесь? А вот чёрта с два! Теперь в большинстве случаев нажатие на «ноль» приводит к сообщению, что нажата неверная клавиша. Наши компании забыли, что такое клиентоориентированность. А вместе с этим и про качество услуг тоже забывать стали.

                                                    Ладно, не суть. По теме присоединюсь к вопросу: чем найденное опасно для рядового юзера? Ну гадит приложение в лог токенами, и что? Это же Ваши данные. Это практически то же самое, что упрекать браузер в возможности отображать в консоли отладки куки сайтов.
                                                      0
                                                      Да, я понимаю, что это не тянет на настоящую уязвимость, и что получить доступ к системным логам стороннему приложению весьма проблематично. Но осознание того, что информация о моем балансе, услугах, переписке с оператором и, что самое важное, детализация звонков будет сохранена в каких-то файлах, которые могут отправиться третьим лицам, заставляет насторожиться.

                                                      Плюс если к этой неосторожности добавится еще какая-нибудь (не подозревая о проблеме с первой), то в логах может появиться больше интересных вещей. Я согласен, что это лишь теория, но такое отношение со стороны разработчика мне кажется неприемлемым.
                                                        0
                                                        Ну вот на этом месте мы и возвращаемся к тезису о том, что крупные компании всё чаще забивают на качество работы своих сервисов. В теории уязвимости-то нет. Но качество работы приложения оставляет желать лучшего.
                                                        0
                                                        У Теле2 пока еще до поддержки достучаться можно. И она даже отвечает не по скрипту. Ну, пытается. Проблема только том — может ошибаться, не в пользу клиента конечно, например в ответ на вопрос вида «переадресация тарифицируется из пакета или отдельно, на сайте сказано не четко?» отвечают что конечно из пакета (а практическая проверка показывает что как раз наоборот).
                                                          0
                                                          напомнили, у МТС есть «ловушка для программиста». Когда по корп. вопросам соединяешься с оператором, то звучит предложение «Если вы хотите оценить работу оператора, нажмите НОЛЬ».
                                                          +1
                                                          Я полтора месяца доказывал Билайну, что одна из их вышек в сельской местности после сильной бури с грозой начала плохо работать (сигнал стал ощутимо слабее и начал рандомно периодически пропадать).
                                                          Меня каждый раз выслушивал оператор, говорил, что заявка на исправление проблемы успешно зарегистрирована и что бы я не переживал по этому поводу, в этот раз они точно разберутся. А потом ровно через неделю мне приходило смс о том, что моя заявка передана в центр планирования развития сетей. И так полтора месяца по кругу.
                                                          Только лишь через полтора месяца, вместо отправки мне очередного смс, мне позвонил инженер и сообщил, что да, они проверили и оказалось, что действительно была проблема с вышкой.

                                                          А теперь самое главное: И это всё при том, что до этой ситуации, уже был случай с этой же базовой станцией, когда она неделю просто не работала и я неделю доказывал оператору, что это у них проблема, а не у меня с телефоном что-то не так.

                                                          Так что во второй раз они уже должны были знать, как то, что базовая станция потенциально проблемна, так и то, что ко мне следует прислушаться на всякий случай и проверить информацию, но нет, пришлось полтора месяца доказывать, что проблема имеет место быть.
                                                            0
                                                            Вы хотя бы это доказали. Я с МТС так и не смог договориться и через 2 месяца просто забил на эти попытки. Решил, что если они за зиму ничего не поправят, то попробую последний вариант — «либо вы чините вышку, либо я иду к другому оператору».
                                                              +1
                                                              Я думаю дело в том, что операторам связи валится огромное число жалоб формата «телефон плохо работает, сделайте что-нибудь» и наверняка многие из них снабжены псевдотехнической информацией о рельефе, бурях, соседях и инопланетянах, отфильтровать которую значительно проще по количеству жалоб на одну точку, но не по смыслу жалоб.
                                                              Поэтому я предполагаю, что действует алгоритм «проверить внепланово если жалоб много, иначе проверить по плану».
                                                                0
                                                                Так что во второй раз они уже должны были знать

                                                                Это, кстати, проблема "отстутствия памяти" и разных сотрудников. Я так где-то с пару лет общаюсь с техподдержкой пейпала. Вся комедия в том, что каждый день мне отвечает новый человек, и то если повезёт. Если нет — робо-ответ. Так что где-то к 50тому письму на слудующий день я начинал сообщение так: "Прежде чем отвечать мне автоматическим ответом или любым другим, перечитайте всё вышеописанное (и тут же прикреплял весь тред). И нет, это (обычная рекомендация) для меня не работает. И нет, этого я тоже делать не буду. А теперь ещё раз перечитайте и решите уже наконец мою проблему.".
                                                                Кстати, проблему я так и не решил. Причина та же — одни обещали одно, другие говорили другое, третьи открещиваются "это невозможно, можно только так". А вот если бы за первые пять сообщений они составили условный фоторобот проблемы, глядишь, шестой сотрудник решил бы проблему имея все карты на руках.

                                                                +2
                                                                Вы б сессию с разными действиями выложили, позаказывали услуги, попереводили деньги. Люди бы развили тему. Обсудили их подход к реализации REST API.

                                                                А читать жалобы на тех поддержку — ну такое.
                                                                  0
                                                                  Спасибо, я учту в будущем. Подход в некоторых аспектах действительно странный… Например, там очень (ну очень) много запросов идет, чтобы получить локализованное словосочетание (вроде «Оплата услуг мобильной коммерции») для определенного языка. Думаю, из-за этого у них постоянно прогресс-бар в приложении маячит.

                                                                  Вот пример



                                                                  0
                                                                  в ГП адрес разрабов же инфо@билайн.ру
                                                                    0
                                                                    Да, действительно, забыл туда заглянуть (правда не совсем понятно, кто именно за ним прячется)

                                                                    Стоит также отметить что в самом приложении есть кнопка «Сообщить об ошибке» и она ведет на упомянутый в посте ответ@билайн.ру
                                                                    +1
                                                                    По моему опыту, проблема с тем, чтобы пробиться к понимающим технические детали людям, есть почти у всех подобных компаний.
                                                                    Например, в приложении Мой Tele2 (Россия) пароль в какой-то момент передавался по нешифрованному http. (Больше похоже было на недосмотр, остальные запросы были по https.) Я сообщил им через vk, сказали передадут нужным людям. Время прошло, ничего не сделали. Я написал об этом же в отзыве в App Store. Тут уже мне ответили, поблагодарили и вскоре пофиксили.
                                                                    Еще я нашел дырку в приложении Мой Билайн (Казахстан). Там вместо того, чтобы использовать https, сделали свое «шифрование», при этом таким образом, что ключ для расшифровки передавался вместе с шифрованным сообщением! Я писал и оператору, и компании разработчику приложения, реакции просто никакой.
                                                                      0
                                                                      А не пытались еще засудить за «неправомерный доступ»?
                                                                      А ситуация полного игнора или отписок вида «это не баг, а фича!» — скорее правило, чем исключение, увы.
                                                                      Максимум, на что можно рассчитывать, это то, что уязвимость закроют в следующем обновлении, через месяц-другой, втихую, даже без «спасибо!»
                                                                        0
                                                                        В твиттере попросили скинуть в директ подробную информацию и, видимо, «создали заявку»
                                                                          +2
                                                                          Вообще, сегодня в твиттер и фейсбук писать намного продуктивнее, чем в техподдержку. А если с матом, то еще продуктивнее — коллеги проверяли.
                                                                        –2
                                                                        Господи, расскажите кто-нибудь автору про режим разработчика в Google Chrome — для него откроется целый мир «уязвимостей»
                                                                          0
                                                                          Побродив по сайту Билайна в режиме разработчика Google Chrome не обнаружил нигде в логах заботливо сохраненной информации о моих услугах и детализации звонков.
                                                                            0
                                                                            В логах приложения она тоже вообще то не сохраняется
                                                                              0

                                                                              Так то это системный logcat, и там я как раз и обнаружил, пройдясь по приложению, указанную информацию

                                                                                0
                                                                                Лог ее показывает, но нигде не сохраняет если что. Точно так же в браузере вы можете посмотреть все свои запросы и ответы
                                                                                  0

                                                                                  Вы, как разработчик, не можете гарантировать, что этот лог не будет прочитан и сохранен сторонним приложением (при наличии рута) или оболочкой вроде MIUI.

                                                                                    0
                                                                                    Знаете, если у вас рут на телефоне, то там может работать все, что угодно, вплоть до mitm прокси. При наличии рута вы вообще ничего гарантировать не можете.
                                                                                      0

                                                                                      В случае оболочки у нас нет рута, но информация третьим лицам попасть может (багрепорт, бекап и т.п.) Во всяком случае, повторюсь, не стоит оставлять дверь открытой, если у потенциального вора есть отмычка.

                                                                          0

                                                                          Прямо под статьей блок с вакансиями и одна из первых "Android разработчик в ВымпелКом (Билайн)". Может стоит записаться на собеседование и сообщить о баге?)

                                                                            0
                                                                            Может даже кого-то уволили после выхода статьи
                                                                            0
                                                                            Был клиентом Билайн более 10 лет. Этой весной закрыл с ними договор как на мобильную связь, так и на домашний интернет.

                                                                            Чат бот и скрипт голосового меню достали жутко. Последней каплей стало то, что несмотря на жесткое «отпишите меня от *любой* рекламы», все равно прислали рекламу магазина смартфонов к 8 марта.

                                                                            Самое забавное, что, когда начал перенос номера к другому оператору, мне позвонил какой-то менеджер, который чуть ли не со слезами упрашивал у них остаться и предлагал дать свой личный номер, чтобы я мог позвонить в случае проблем. Мое «ваша попытка сделать жизнь одного клиента лучше, вместо того, чтобы налаживать процессы внутри компании, только говорит о правильности моего решения уйти» до него не дошло.

                                                                            Кроме того, раз 7 звонили в разные моменты с вопросом почему же ухожу. Т.е. они меня выслушивали, а в CRM ничего не записывали. Если у них вообще CRM есть…

                                                                            Жалобу со слов звонившего сотрудники call центра, кстати, составить не могут. Это тоже доставляет.

                                                                            При том, что качество услуг у них, имхо, — одно из самых высоких на рынке, клиентский сервис — отвратителен.

                                                                            ЗЫ: Еще из забавных историй. Звоню в поддержку домашнего интернета. «Введите номер вашего договора». У меня его нет под рукой, да и дома не уверен, что найду. Пытаюсь нажимать и 0, и другие действия, но скрипт голосового меню либо повторяет запрос на номер договора, либо просто обрывает связь. В итоге, пришлось звонить в саппорт мобильной связи выносить 20 минут девушке мозг, чтобы она оставила для сотрудников домашнего интернета заявку на обратный звонок.
                                                                              –1
                                                                              Жалобу со слов звонившего сотрудники call центра, кстати, составить не могут. Это тоже доставляет.

                                                                              Всякий раз именно что составляют. Без проблем. Правда, на бизнес-тарифе.
                                                                              0
                                                                              Они мне прислали лайфхак на почту в свое время:image
                                                                              #простоудобнодлятебя)
                                                                                0
                                                                                "Чьёртпобьери"?
                                                                                +1

                                                                                Типа так:


                                                                                GET /support HTTP/1.1
                                                                                Host: beeline
                                                                                
                                                                                HTTP/1.1 302 Found
                                                                                Location: /support
                                                                                
                                                                                Обратитесь в службу поддержки.
                                                                                
                                                                                  0
                                                                                  Беда нашего времени — максимальная обфускация любых форм службы поддержки. Будь я депутатом, уголовную ответственность за такую обфускацию.

                                                                                  Началось все с музыки под «все ваши разговоры записываются», затем и веб-формы обратной связи стали все более и более запутано-перепутано предлагать хоть какой-то диалог с живым сотрудником, заменив это на бесконечные FAQ, среди которых диалог — фиг найдешь, затем к ним добавились недремлющие всплывающие окна «консультантов» — на деле оказывающиеся роботами.

                                                                                  Раздражает жутко, как и всякий фейк и ложная надежда.

                                                                                  Уж лучше честно — поддержка недоступна, и с ностальгией вспоминать дозвон в советские инстанции по телефонному номеру. Там уж если пробьешься среди гудков «занято» и не сбросят, то хоть значит, попал куда надо

                                                                                  зы) вчера «скорую» пришлось вызывать — процесс производился с 4-мя (!) редиректами, каждому из которых надо было объяснять проблему и называть адрес по-новой. Прям как в службе поддержки евросети, и музыка, и «разговоры записываются». Последним звеном оказалась хамоватая тетка, в раздраженно-советской манере после оглашения всех деталей ответившая «ждите» и раздраженно повесившая трубку
                                                                                    +1
                                                                                    Приложение жгучее: убрали поведение, которое лично мне очень нравилось (было в нём давно), а именно оно запоминало логин (при запуске программы в поле он уже был введен), но вводил пароль и нажимал кнопку «войти» я сам. При этом был вариант не разлогиниваться — точнее, чтобы меня узнавали по номеру симки, если я работал через мобильный интернет, но было предупреждение (очень логичное), что, в случае раздачи интернета с этой же симки через wifi с телефона или роутера, любой подключенный к роутеру сможет как бы от моего имени (от имени моей симки) заказывать мне услуги в личном кабинете.

                                                                                    Сейчас же, при работе через сотовую сеть, осталось два варианта логина: либо кнопка «войти» (и меня авторизует без пароля, просто по номеру телефона), либо кнопка «войти под другим номером», которая требует вводя и номера, и пароля руками.

                                                                                    Обратной связи с разработкой (да и вообще обратной связи вида «у вас это сделано плохо») в Би особо нет, можно только написать письмо на эл. ящик, и его «рассмотрят».
                                                                                      0
                                                                                      Это вообще самое странное приложение из тех, которыми приходится пользоваться. Оно тратит дикое время на простой запрос баланса. Я не понимаю как так могли вообще сделать, при условии что на сайте этот же баланс с того же домена грузится моментально.
                                                                                        0
                                                                                        Возможно часть проблемы кроется в этом
                                                                                          0
                                                                                          Наверное потому-что их сайт писался еще во времена, когда JSON и REST API еще не были особо распространены, поэтому существовал только сайт (возможно и сейчас ситуация ангалогична), который все сторонние приложения просто парсят, а это, очевидно, опускает производительность до плинтуса. У Сбера возможно та же тема, ибо как иначе еще объяснить, что их приложение вообще еле двигается, хотя для этого нет никаких предпосылок. Ну либо студентов наняли, которые написали им приложение за так, и в этот говнокод никто даже суваться не хочет, работает и то хорошо. Это результат того, когда на первое место становится забота о сверприбылях, а не удобстве для юзеров. В случае Сбера как государственной компании — это 100%, ну а Билайн — это российская компания, что сейчас, увы, является аналогом государственной(
                                                                                          0
                                                                                          Ахахах Смешно получилось! Они видимо как и их боты не понимали что происходит ))) Какой хозяин такая и собака, вроде так говорят? Вот конечно удивило что именно приходит открытый ответ и еще форматированный?

                                                                                          Only users with full accounts can post comments. Log in, please.