Очередной обход авторизации в публичных Wi-Fi сетях

    На эту тему уже было несколько статей — Как обойти SMS-идентификацию при подключении к публичным Wi-Fi сетям? и И еще раз: не пользуйтесь публичным WiFi, но появляются новые методы авторизации, поэтому пришло время поговорить об этом еще раз. Недавно в московском кафе я наткнулся на незнакомый способ авторизации в сети. Сразу возникло желание проверить, можно ли обойти эту авторизацию, и чем это грозит обычным людям.



    Подтверждение личности при подключении к публичным Wi-Fi сетям в России — требование закона. Существует несколько способов, наиболее популярные из них — ввод кода из СМС или ввод последних цифр номера телефона, с которого был получен звонок. Однако, в этом кафе была использована авторизация, предоставленная сервисом wifi-way.ru, которая работает немного иначе. Пользователю предлагается указать свой номер телефона, а потом совершить с него звонок на номер этого сервиса. После установки соединения звонок будет сброшен, а пользователь — авторизован.

    Кажется, что это удобный способ: компания не тратит деньги на отправку СМС, достаточно купить номер телефона и отслеживать входящие звонки. Однако, есть как минимум один серьезный подводный камень — принципиальная возможность осуществления звонков с подменой номера.

    Существующая реализация мобильных сетей позволяет начать звонок с произвольным Caller ID (номер телефона вызывающего абонента), после этого вызываемый абонент получит звонок с подмененным номером звонящего. Это происходит из-за того, что мобильные сети построены на доверии. Детали выходят немного за рамки этой статьи, здесь же достаточно упомянуть то, что для выполнения подобных звонков можно либо достаточно долго покопаться в настройках АТС, либо просто использовать какой-то сервис для звонков с подменой номера и немного «магии», чтобы позвонить на российские номера.

    Крайне сложный обход авторизации выглядит так:

    1. Подключение к сети
    2. Указание номера телефона
    3. Звонок с подменой Caller ID на номер из предыдущего пункта

    Кажется, что это довольно сложный способ доступа в интернет, проще купить SIM-карту без паспорта, если не хочется отдавать номер телефона подобным компаниям (а ведь еще они продают их владельцам заведений, добро пожаловать в мир потенциального спама). Но главное — не сам доступ в интернет, а доступ с использованием чужого телефонного номера. В двух предыдущих статьях описывались способы, которыми можно получить доступ к существующим «сеансам» соединения, поэтому можно просто не пользоваться публичным Wi-Fi и жить спокойно. В этом случае злоумышленник может указать любой номер телефона, опубликовать где-нибудь призыв к экстремизму или работу японских художников, а дальше все зависит от везения.

    Если был использован иностранный, несуществующий или «элитный» номер, то никто не пострадает, хотя компания может получить много интересных вопросов, почему у них в базе записан именно этот номер. Но если они используют такой метод авторизации и продают его, то они явно готовы к этому.

    А вот если официальный владелец номера живет в этом городе, то все гораздо более интересно. Возможно, что единственный шанс — пытаться убедить следователей и суд проверить по логам мобильного оператора, был ли в реальности совершен этот звонок с использованием SIM-карты абонента. Но уже это может заставить потратить очень много времени и сил.

    Дополнительный интересный момент — владелец номера не может узнать, что его номер был использован для авторизации: он не получает ни подозрительного сообщения с кодом, ни звонка с неизвестного номера. В худшем случае об этом скажет следователь.

    Я написал на почту wifi-way.ru, чтобы узнать, что они об этом думают. Ответ был довольно ожидаемый: про возможность подмены номера знаем, система сохранит тот номер, который пришел из мобильной сети.

    К этому сложно что-то добавить, могу только пожелать всем удачи и счастливых номеров телефонов, которые не будут использованы злоумышленниками при авторизации.

    Глубоко личное мнение об ответственности компаний за безопасность людей (а не пользователей)
    Необходимо четко разделять компании в зависимости от того, работают ли они только со своими пользователями или с неограниченным кругом людей. Если сервис предлагается только для тех, кто зарегистрировался и принял соглашение вида «Безопасностью не занимаемся, используем дырявые технологии, взлом возможен, добро пожаловать в клуб любителей унижений», то компания имеет полное право не исправлять уязвимости и потенциальные проблемы. Хотя в ряде случаев их может покарать закон, но это уже отдельная история.

    Однако, существуют и другие компании: в случае использования уязвимостей в таких сервисах любой человек может пострадать, даже если он сам не пользовался таким сервисом. Сюда относятся и государственные сервисы, и проклинаемые многими платные подписки, и системы для авторизации в публичных сетях. Хотя я и не слышал о наказании тех, от чьего имени через публичные сети были написаны призывы к экстремизму, проведены атаки на какие-то системы, или, что самое ужасное, опубликованы работы японских художников, я абсолютно не могу гарантировать, что такого не произойдет, а у жертвы будет возможность оправдаться.

    Поэтому я убежден, что компании, от действия или бездействия которых может пострадать тот, кто не заключал с ними договор, должны либо использовать безопасные технологии, насколько это возможно, либо быть наказаны обществом. К сожалению, при этом не стоит забывать об инертности людей и готовности игнорировать все проблемы с безопасностью, пока они не коснутся их самих. Это показывает компаниям, что можно забивать на безопасность всех, народ схавает и забудет через пару дней. Но это уже тема для отдельной грустной статьи.
    Поддержать автора
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 19

      0
      Автор узнал, что можно подменять Caller ID или о чём статья?
        +3
        Автор узнал, что есть очередной волшебный сервис, который использует Caller ID для того, для чего он не предназначен. Как минимум, такая авторизация вполне может доставить потенциальные страдания жертве.
        0
        Простая детализация звонков покажет, что настоящий владелец номера звонков не совершал. Дело 30 секунд.
          +2
          В простой детализации «Отклоненных» звонков нет.
            0
            Это одна из причин, почему я считаю такую авторизацию неправильной и опасной, но не настолько, чтобы бежать во все инстанции и требовать исправления и кары. Если же кто-то найдёт проблемы в классической СМС-авторизации, то там будет все гораздо серьёзнее. Однако, есть два момента, которые меня смущают:

            1) Будет ли запрошена детализация (и будет ли она запрошена вообще) до того, как какие-то серьёзные последствия наступят: условно, если от имени жертвы совершили что-то серьёзное, то не потаскают ли ее по следователям и допросам до того, как скажут «А, мы запросили детализацию, звонка от вас не было, извините».

            2) Дополнительно, мне не нравится концепция авторизации по звонку тем, что для большинства людей звонок — это всего лишь звонок, который не приводит ни к чему, если просто позвонить: не ответили, ну бывает. Есть слишком много разных способов, как можно мотивировать человека позвонить (особенно, в случае целевой атаки): выгодные объявления и сайты, тревожные СМС и звонки, звонки с подменой номера с номера этого сервиса (возможно, что они не пройдут, но кто знает), на что фантазии хватит. Этот сервис предлагает номера с бесплатными звонками (8800), поэтому можно не бояться случайно наткнуться на платный номер. А после такого «вынужденного» звонка все гораздо хуже — авторизация есть, звонок был, что-то нелегальное было сделано от имени жертвы. Хотя шанс этого довольно небольшой, но в случае целевой атаки — почему бы и нет?
              –4
              Если проводят доследственную проверку то следователь (дознаватель) сам попросит вас передать ему подробную детализацию от оператора связи, а если заведено уголовное дело, то вас даже спрашивать не будут и данную детализацию следователь получит сам (без вашего согласия). Плюс будут логи вашего присутствия в сети, геолокация с привязкой к соте и дате и прочие метаданные. И в том и в другом случаем будет выяснено, что ваш телефон как собсна и вы сами в этом деле не замешаны. Конец истории. Да, вероятно будет несколько неприятно и неудобно, но не более того. Наши органы конечно «огогого», но не до такой же степени (если только не считать дело с известным журналистом).
                +7
                В параллельной вселенной — вероятно. Но когда в похожей ситуации оказался чувак из России, который держал выходной узел TOR, никто в органах особо не пытался получить «логи вашего присутствия в сети, геолокацию с привязкой к соте и дате и прочие метаданные». Жутко экстремистская запись на форуме есть? IP ваш? Пройдёмте.
                (И как обычно дело закончилось хорошо лишь благодаря общественному резонансу)
                  0
                  Я как раз совсем недавно смотрел чем та история закончилась. К слову BBC раскопало довольно интересные моменты для размышления.
            +2
            А конечная авторизация все равно завязана на mac-address?
            Т.е. если кто-то авторизовался по звонку, то система добавляет его mac-address в список разрешенных, так что какие бы поделки уровнем выше не делались бы, главный недостаток (доступ по MAC-у) в таких системах при текущих протоколах неустраним.
              0
              Не проверял, но так и есть, скорее всего. При этом, в отличие от классических систем с честной авторизацией (давайте предположим, что там есть хоть какая-то защита от классический атак и методов обхода), где можно не использовать Wi-Fi, тогда сессию не перехватят, здесь можно получить потенциальные проблемы, даже не используя эту сеть. А если использовать, то можно получить проблемы и от перехвата сессии.
                0

                Можно делать авторизацию при подключению к WiFi по персональному логину-паролю (логин — номер телефона, пароль — код из смс), и вторую открытую сеть, которая перенаправляет на captive-портал с инструкцией по получению смс и подключению к закрытой сети.
                И все, никаких MAC'ов для авторизации не нужно. Но никто не хочет с таким заморачиваться.

                  0
                  Ээ, чего? Как-то сумбурно написано, распишите подробно и будет видно нужна авторизация по mac-у или нет.
                    0
                    Я читал, что подобный вариант используют в нескольких местах (кажется, в паре университетов). Это выглядит адекватно, если владелец хочет получить работающее решение, а не заглушку. Другое дело, что заказчики говорят «Ааа, о нет, только не новый закон, хочу дёшево», компании напряглись и говорят «Держи, это дёшево, плюс вы получаете номера телефонов посетителей в подарок», бизнес обрадовался и купил дырявые решения.
                      0
                      которая перенаправляет на captive-портал с инструкцией по получению смс и подключению к закрытой сети.


                      типа генерируем VPN-учетку для данного номера и если прошел авторизацию, то просто даем ссылку на *.ovpn файл, который скармливается OpenVPN и подключаемся по VPN в открытой сети?
                      Да, в принципе может сработать, но будет ли кто заморачиваться или какой-то оператор должен озаботиться созданием приложения, которое это всё автоматизирует в пару кликов.
                        0

                        Нет, никаких VPN не надо, как и какого-либо дополнительного софта. Почитайте про WPA Enterprise.

                          0
                          Да, тоже вариант, а где пользователь получит ключ для WPA Enterprise?
                            0

                            Там авторизация для получения сессионного ключа по логину-паролю с RADIUS сервера. Логин — номер телефона (вводится на captive-страничке открытой сети), а пароль приходит смс-кой, например.

                    +1
                    Вот найдется тролль, запостит экстремизм с телефоном владельца/директоров wifi-way.ru, проблема и решится…
                      0
                      Тут возникают два забавных вопроса:
                      1) Какую ответственность несёт оператор авторизации, если он авторизовал пользователя с левыми данными и гордо понёс эти данные в ответ на запрос полиции?
                      2) Если используется эта авторизация, то у жертвы есть шанс доказать свою невиновность: требовать запроса истории звонков, доказывать, что вызовов не было (если жертва не попалась и не позвонила случайно на этот номер, который ей подсунули: люди же не знают о существовании акции «Набери бесплатный номер 8800, получи потенциальную уголовку в подарок»). Но если используется классическая авторизация с помощью СМС или входящего звонка, то я не знаю способов, как можно доказать свою невиновность, если была использована какая-то уязвимость для авторизации или ее обхода.

                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                    Самое читаемое