10 декабря 2013 в 23:25

Мегафон не спешит закрывать старые дыры в безопасности

Не так давно, netAn опубликовал интересную статью описывающую проблемы безопасности системы Мегафон — Сервис-гид.

По прошествии времени, мы решили проверить, насколько Мегафон заботится о безопасности личных данных своих клиентов, и провели небольшое тестирование продуктов авторизации в «сервис-гид». Результат не увенчался успехом, Мегафон действительно исправил ошибку, в которую их тыкнуло хабро сообщество, но пойти дальше и проверить всю систему они почему-то не решились.

Не буду повторяться, что можно сделать со счетом абонента имея доступ в «сервис-гид» (см. статью) перейду сразу к сладкому.

Как показал анализ, в Мегафоне, существует внутренний гейт, с которым соединятся и messages.megafon.ru, moscowsg.megafon.ru и многие другие приложения для авторизации абонентов. Используя мобильные приложения «UMS» и «Мегафон Диск» можно подбирать пароли с высокой скоростью за счет отсутствия необходимости в проведении полной процедуры аутентификации.

Об этой проблеме было отправлено письмо в службу технической поддержки абонентов Мегафон несколько недель назад, но как ни странно она не отреагировала на наше письмо. На момент 11 декабря ничего не исправлено.

Для анализа трафика мобильного приложения используем зло mitmproxy
А теперь подробнее о каждом.

«UMS»


Пример HTTP запроса и ответов при авторизации
Request:

POST https://auth.messages.megafon.ru:15020/tellin/login.do
Host: auth.messages.megafon.ru:15020
x-UserAgent: iPhone|iPhone0.0|iPhone OS 0.0.0|0.0.0.0|aVBob25lIDRT|aVBob25l
Accept-Encoding: gzip
Content-Type: text/xml;UTF-8
Accept-Language: zh-CN,en,*
Cookie: JSESSIONID=000000000000000000000000
Content-Length: 344
Connection: close
Proxy-Connection: close
User-Agent: UMS 0.0.0.0 (iPhone; iPhone OS 0.0.0; ru_RU)
XML-like data
<?xml version='1.0' encoding='UTF-8'?>
<root>
  <user>+7926000000</user>
  <random>HUAWEI RCS0000-00-00</random>
  <secinfo>мойкрутойпароль</secinfo>
  <version>0.0.0.0</version>
  <clienttype>2010000</clienttype>
  <pintype>0</pintype>
  <requestip>653.289.953.846</requestip>
  <usertype>0</usertype>
  <deviceID>NvQPSFL3nclMuRJbc8KjjgIBn6CVg49mpzNZoJ4LK0n2OQDpcEENuly9FVK5</deviceID>
</root>

1) Успешная авторизация 
Response:
Raw
[ base64 длинной 3680 байт ]

2) Ошибка авторизации
Response:
<root><return>200050401</return><desc>The user information is incorrect.</desc></root>


«MegaDisk»


Пример HTTP запроса и ответов при авторизации
Request:

POST https://oauth.megafon.ru/login?oauth_token=92cd604414ba74ff7a3e
Host: oauth.megafon.ru
Accept-Language: ru
User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS 0_0_0 like Mac OS X) AppleWebKit/0.0.0 (KHTML, like Gecko) Mobile/0B
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Referer: https://oauth.megafon.ru/login
Content-Type: application/x-www-form-urlencoded
Connection: keep-alive
Proxy-Connection: keep-alive
Cookie: ID=IGmYDY6caHVX\nsFELs55iR7wPyhSMvQHc
Content-Length: 141
Origin: https://oauth.megafon.ru
Accept-Encoding: gzip, deflate

URLEncoded form
version: 1
token: HkyOryj8L0nAsL7AMgd2JjqjaO
language: ru
validateform:  QR3g4qMeSF0tPHT9COXCKD4guGeYdwHGFBgrPi1eHr
msisdn: 7926000000
p:  мойкрутойпароль
login: LoginRU

1) Успешная авторизация 
Response:
HTTP код 302

2) Ошибка авторизации
HTTP код не 302


Проблемы в этих приложениях две:
  1. Получая информацию об успешной верификации пары номера телефона и пароля мы не продолжаем дальнейшую авторизацию и тем самым не идет SMS информирование абонента об авторизации в UMS
  2. По умолчанию в UMS отключено SMS информирование при авторизации через мобильное устройство


Варианты решения:
  1. Использовать шифрование на первом этапе авторизации
  2. Показывать капчу
  3. Отправление SMS уведомление при попытки авторизации
  4. Использование буквенных паролей


Проверки осуществлял используя в качестве цели свой собственный номер телефона.
Каким провайдером сотовой связи Вы пользуетесь?

Проголосовало 2678 человек. Воздержалось 303 человека.

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

Константин @Constantinus
карма
9,0
рейтинг 0,0
Самое читаемое Разработка

Комментарии (24)

  • +13
    Ага. И в контакт-центр не дозвонишься. И в фирменных салонах разные сотрудники дают разную информацию :)
    • +2
      Кстати да. Я много раз пытался дозвониться в Информационно-справочную службу, но там вообще не предлагается соединиться с оператором!

      Открыл кейс на эту тему в личном кабинете — первый ответ был вообще не в тему, с формулировкой «Да, операторы бывают заняты». То есть они даже не прочитали мой вопрос внимательно.

      Вчера вечером написал еще более конкретно6 «Объясните, какие кнопки нажимать в IVR, чтобы попасть на оператора». Ответ меня опять порадовал:

      «Доброе утро! Для связи со специалистом Абонентской службы используются номера 0500 (с номера МегаФон), 88005500500 — с любого мобильного или гор. (495)507-77-77. Соединение производится после прослушивания автоматической системы следуя подсказкам и при нажатии соответствующих клавиш. Также свой вопрос Вы можете указать в ответном сообщении. Информацию как связаться со специалистом можно получить на сайте moscow.megafon.ru/help/call_in_megafon/kontaktny_center//). Благодарим за обращение. Хорошего дня! Ольга»

      ОК. Открою еще одно обращение. Потом буду обращаться в службу качества, ибо так поставщик услуг связи работать не может.
      • 0
        Местный Tele2, после своей перепродажи, пошёл ещё дальше — у них только автоматическая система.
        • 0
          Зайдите в офис, спросите быструю комбинацию доступа к оператору )
          • 0
            она меняется
      • 0
        А не подскажете телефон службы качества Мегафона?
      • 0
        Точно не помню, но в меню надо постоянно нажимать ту цифру, где говорится что-то типа «у меня другой вопрос». Раньше было 0, 0, а затем уже появлялся вариант связи с оператором.

        У мегафона ещё не самая печальная проблема с операторами. Помню у АльфаБанка после изменений, я даже специальную пометку себе делал, т.к. запомнить этот квест было не реально. В итоге психанул и ушёл к другому банку.
        • 0
          В этом плане рулит Авангард. Там ВООБЩЕ нет IVR. Сразу отвечает оператор и всё)
  • +2
    Спасибо за статью!

    «По умолчанию в UMS отключено SMS информирование при авторизации через мобильное устройство»

    — а где можно включить SMS-информирование об UMS-авторизации?
    Можно ли отключить саму эту авторизацию вообще?
    • +7
      Уважаемый netAn, благодарить надо Вас, без Вас этой статьи бы небыло! :)

      А теперь к делу.
      Если у Вас все же подключена услуга UMS, то необходимо авторизоваться в UMS и зайти в настройки. Второй пункт в настройках «Посылать мне SMS сообщение при авторизации с планшетного устройства» как раз включает SMS уведомление.

      Напоминаю, что отключить UMS можно в личном кабинете «сервис-гид»

      И еще один важный нюанс, если Вы включили SMS уведомление при авторизации, то SMS Вам придет только в случае прохождения полного цикла авторизации.
  • +3
    В опросе не хватает Ростелеком или хотя бы другой оператор.
    • +1
      Добавил, спасибо!
      • +3
        А ещё там не хватает чекбоксов
        • +1
          Да, с опросом я оплошал :( к сожалению, тип после публикации нельзя.
          • 0
            Считайте меня за Tele2 и МТС. Вообще — когда-либо я был абонентом всех этих компаний.
  • +11
    От UMS вообще веет какой-то недоделанностью. Прямо на главной — «lorem ipsum»:

    • 0
      Нет контроля качества. Непонятно как у них ведется сдача проектов. Внутри наверняка еще больший бардак.
      • 0
        ну, товарищей из MegaLabs я сюда за интересным чтением позвал; посмотрим на результаты.
      • 0
        Судя по «удобству» Сервис-гида, неработающему интернету на Арбатской и т.п., контроля качества у них отродясь не было.
        • 0
          В Сервис гиде в разделе Обратной связи меня убивает невозможность переоткрыть тикет, или откомментировать его. Ты написал вопрос, тебе ответили (часто фигню), и всё. Открываешь новый тикет на ту же тему. Жесть…
        • 0
          «Удобство» СГ обусловлено ограничениями бэкенда — биллинговой платформы, разработанной Петер-Сервисом. А ещё добавляется «зоопарк» услуг и тарифов для каждого региона — поскольку МегаФон состоит из нескольких самостоятельных филиалов.

          Ваш покорный слуга несколько лет назад вместе с этими прекрасными ребятами — habrahabr.ru/company/uidesign/ — занимался разработкой единой user-friendly системы самообслуживания во всех каналах customer care МегаФона — от телефонного IVR до USSD и Web, но разработанное решение в дело не пошло. А потом все причастные один за другим нашли себе новые работы…

          Слухи о том, что МегаФон ищет пути перехода на «взрослый» биллинг (OSS/BSS) типа Amdocs время от времени возникают, но не более.
  • 0
    XML в запросе? Место для XXE…
  • 0
    Уважаемые хабравчане, спасибо за информацию. Честно говоря, мы постоянно следим за уровнем безопасности сервисов. Была реакция на предыдущий пост, мы отписались, что тогда было усиление.

    На данный момент опять же завершается подготовка внедрения новой системы авторизации для UMS. Сейчас работает скрипт, обнаруживающий аномальную активность, и блокирует ее.
    В Сервис-Гиде есть защита от перебора паролей (такая же защита стоит и в Google). Поэтому пока угрозы нет. Далее, как сказано выше, подключится новая система авторизации, далее будут новые шаги, соответствующие новому уровню угроз. Так что держим руку на пульсе. Всегда рады новым постам на эту тему, нам есть, с чем сверять наши показатели.
    • +2
      Почему Ваша компания корпорация не может повысить качество своих услуг? Это будет стоить дешевле 50 млрд руб. Многие будут Вам благодарны!

      Могу Вам помочь в решении этих задач, есть опыт.

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.