Пользователь
0,0
рейтинг
21 августа 2015 в 14:07

Разработка → Обход авторизации через социальные сети при подключении к публичным Wi-Fi из песочницы

Все началось с того что я наткнулся на статью. Вкратце, в ролике показано, как два пользователя подключаются к сети заведения и заходят в браузер, в котором открывается страница с предложение авторизоваться через «ВКонтакте»: необходимо ввести логин/пароль, вот только домен не vk.com, типичный фишинговый сайт. В итоге, при такой авторизации передаются третьей стороне учетные данные, и устанавливается приложение с неограниченными правами, которое имеет круглосуточный доступ к вашей странице.

Если погугулить можно найти большое количество компаний, готовых сделать подключение к вашему Wi-Fi через регистрацию в SMM.



Для владельцев кафе, ресторанов, отелей и т.п. они предлагают сбор и анализ статистики посещаемости заведений, плюс рекламу через публикации клиентов. Для нас, как клиентов, это вытекает во вторжение в личное пространство, ведь они получают полный доступ к страничке в социальной сети, включая переписку. Все делается для отслеживания клиента, это подтверждает картинка из презентации одной такой компании.



Мне стало интересно, как реализована авторизация через SMM, так как способов масса. На сайтах тех, кто предоставляет такие услуги 1, 2, 3, предлагают собирать информацию о клиентах сразу после регистрации. Я зарегистрировался на одном из таких, как владелец кафе в Москве. Мне дали триальный период и инструкцию по настройке своего Wi-Fi роутера. Все оказалось очень просто.



Используют банальную подмену IP-адресов на уровне DNS, когда вы пытаетесь зайти на какую-нибудь страничку, вам подсовывают фишинговую страницу с авторизацией через соцсеть. Выход кажется очевидным: поставить у себя на устройстве DNS которому вы доверяете. Но решено было проверить, и прикинувшись дурачком я написал в тех подержу.



Замена DNS на доверенный решает проблемы, но сапорт предлагает заворачивать весь трафик по 53 порту, тогда NS запрос всё равно будет идти на bad DNS. Сомневаюсь, что где то в кафе так делают, ведь для этого обычный роутер не подходит, а нужен что-то наподобие MikroTik.

На заметку


  • Вы пришли в кафе, бар и т.д., подключились к Wi-Fi. Заходите в браузер, а вас перекидывает на страницу авторизации через соцсети.
  • Выйдите из браузера и проверьте: работают ли приложения Skype, Vk, viber и т.д.? Если да, то все что нужно чтоб обойти авторизацию — это заменить DNS на доверенные google public-dns 8.8.8.8 и 8.8.4.4.
  • Как это сделать: Android, iPhone, Windows
  • Если вы уже попались на удочку, в одном из кафе. Зайдите в Приложения на своей страничке, удалите все подозрительные, измените пароль.

  • Всем бобра.
@FomkaV
карма
6,0
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (43)

  • +5
    Пару часов назад некие хлопцы звонили и рассказывали о том, какую супер-пупер маркетинговую штуку мы можем упустить, если не воспользуемся их предложением.
    Я очень долго мычал, т.к. не мог понять о чём идёт речь: то ли мне предлагают сливать данные клиентов своей сети, то ли одно из двух.

    Прислали презентацию, в которой всё разложено по полкам: ставим микротик, который всё «серое» раздает своим DHCP.

    И вот тут такая статья — прямо в точку.
    • 0
      Какой-нибудь HotWifi? :)
      • 0
        Нет, но аналог.
        Не буду рекламировать этих «специалистов».
  • +3
    Выйдите из браузера и проверьте

    … можете ли вы подключиться к своему VPN.
    vpn-клиент и DNS нормальные поставит и от прочих MitM и снифферов прикроет.
    К сожалению, иначе в этом мире никак.
    • +1
      или через SSH-туннель. RSA понадежней MS-CHAP.
      • +7
        Минут 5 раздумывал: вы серьёзно или шутите?
        Разумеется, под словом VPN я подразумевал нормальные современные openvpn, ipsec, ssh. Или это у меня просто неправильные критерии нормальности?
        • –9
          Наверно у меня, всегда ассоциировал VPN = PPTP, сейчас задумался — это работа у нас когда говорят VPN, все подразумевают PPTP.
          • +7
            Марти, найди дока, достройте машину времени и возвращайтесь уже сюда — назад в будущее.
            • +6
              Мне нужен целый автобус, чтоб забрать 20 человек на ubuntu 12.04 с non PAE ядром, и 140 с WinXP.
        • +5
          Для меня VPN — это секьюрный туннель, про всякие древние РРТР тоже и в голову не пришло.
        • 0
          VPN |= SSH.
      • +1
        Какое нафик RSA, уже ECDSA прошло и пришло Ed25519!

        Некоторые считают что RSA 2048-4096 это надёжно, а ECDSA нет, только они не видели доки где ECDSA с m=256 эквивалентно RSA 16384 бит, а оно считается (верифицируется) долго — секунды на современных процах.

        И симметричный + мак: чача20-поли1305 или аес256-гцм.
        Если в проце с обоих сторон нет аес то лучше чача, если есть то чача немного отстаёт по скорости (если реализована без SSE/AVX).

        Вин юзеры в пролёте: в путти этого нет, при этом куча других клиентов основана на путти, тот же винсцп.
        В тератерм есть ECDSA и ed25519, но нет curve25519 для обмена ключами.
        • 0
          К большому, большому сожалению, насколько я знаю, ни один Android SSH-клиент не поддерживает EdDSA. Даже ECDSA поддерживают единицы.
  • +1
    В принципе, идея не плохая.
    Через Wi-Fi собирать статистику по кол-ву посетителей, время пиковой нагрузки и тд. Но метод реализации сомнителен, кафе и не получает информацию о пользователе. А вот компания, которая реализует данную услугу, на практике обманом и фишингом взламывает посетителя.
  • 0
    А предлагается ли несчастному бользователю некое лицензионное соглашение? Если нет, так, может, пустить этих ребят на заполнитель раскрываемости?
    • 0
      На страничке, где просят вбить пароль?
      Там не проблема серым тестом что-нибудь накалякать, чтобы прикрыться.
      Другой вопрос, что это никто не читает.
  • +1
    То что описали в статье вы — это какой-то совершенно неправильный social login. Нормальные пацаны используют api соцсетей и Hotspot-решения (обычно Chillispot или Mikrotik). Потому что надо быть я уж не знаю кем, чтобы вводить данные своей учетки в вк/фб на левой форме.
    И да, если используется hotspot, то увы — но туннели, скорее всего, не заработают. Ну если только держать openvpn на tcp:443
    • –1
      Статья с которой все и началось, там описано, что побудило компанию к таким методам.
      А кто сказал что они нормальные?
      Фишинг — это просто, Chillispot или Mikrotik стоят денег, как правило в кафе стоят D-Link, TP-Link, Asus, ширпотреб.
      • +2
        Chillispot поднимается на любом tp-link с накатанным wrt. куда уж дешевле. mikrotik, если и дороже, то незначительно (появились ультрабюджетные hAP lite). Софверная обвязка вам потребуется в любом случае, и это самая дорогая часть проекта. Суммарно, думаю, уложитесь тысяч в 100 с учетом landing page для клиентов.

        А побудила их, как в статье и написано, блокировка их приложения со стороны ВК, т.е. пользовать API соцсети они уже не могли, вот и пришлось извращаться.
        • 0
          Не вопрос, все правильно. Но это как должно быть, а я описал как есть. Все из-за жадности, к тому же они заманивают клиентов: возможность собирать аналитику сразу после регистрации, и без прошивки роутера. Это все фразы с сайтов данных ребят.
          • +1
            Это да, согласен. Я придерживаюсь мнения, что «кроилово ведет к попадалову», и попытка «сэкономить» рано или поздно обернется потерями
            • +1
              Если внимательно протестировать все 3 предложенных сервиса, то видно что авторизация везде ведется либо через ссылку с redirect_uri либо в окне соцсети. Никаких следов Фишингости, я не нашел. Все https домены с сертификатом. Авторизация происходит только в окне по https. Поэтому волноваться о безопасности думаю смысла нет.

              С другой стороны вопрос насколько комфортно посетителям кафе платить за интернет постами на стене соцсети?
              Но опять же если внимательно изучить рынок, у всех компаний есть возможность авторизовываться без соц сетей (ввести код, пройти анкету, кликнуть на баннер).

              Вопрос больше в реализации окна приглашения в кафе, если это приятно оформленное окно, с вступительным словом шеф повара или даже видео от него, где он предлагает фирменное блюдо. Может даже делиться рецептом. То это может быть приятнее и интереснее чем просто подключиться в интернет. Думаю в том, чтобы сделать себе пост на стену с красивым логотипом или картинкой шикарного заведения, тоже нет ничего страшного.

              Технологий реализаций данной темы есть несколько, но автор рассмотрел только одну. По идеи если это Mikrotik со своей дико производительностью или Chillispot со всей гибкостью настройки, то они позволяют достаточно жестко ограничить трафик, и метод описанный в статье не подойдет для обхода авторизации, надо применять другие методы.

              DNS редирект описанный в статье имеет как плюсы так и минусы. С одной стороны это простота в настройке на любом оборудовании, с другой стороны возможность обойти посредством перенастройки личных DNS.

              Также есть интересный метод, когда посредством VPN перенаправляют весь трафик на сервер, где и обрабатывают. Что позволяет использовать практически любое оборудование для реализации, но метод обхода описанный в статье тоже не подойдет.

              Устраивать охоту на ведьм и говорить что авторизация в кафе это зло, думаю смысла нет. Если это грамотно и красиво реализовать, то думаю и посетителям кафе будит приятно и авторизовываться и делать посты.

        • +1
          Есть интересные идеи, но есть и те, кто начнёт злоупотреблять и испортит позитивную ауру самой идеи. Стандартная ситуация. Мы к примеру давно уже занимаемся этой темой, никаких днс не используем, апи социалок тоже стандартное для сайтов (а не standalone), через него доступ к личной переписке и даже к постингу на стену не даётся. К тому же надо давать клиенту выбор, может он не сидит вообще в соцсетях. Пусть тогда через моб. или емайл просто входит. Я про то, что многие компании забывают про клиентоориентированность а берут за основу владельцерестораноориентированность ))))
          • 0
            Поддерживаю ;) Мы занимаемся примерно тем же (не используем подмену DNS и пользуемся строго API социалок для аутентификации), и у клиента всегда есть выбор (который, разумеется, может быть ограничен владельцем заведения): зайти через социалку, через смс или просто в триальном режиме.
  • +3
    Хм, надо быть идиотом, чтобы вбивать свои логин/пароль на левой форме БЕЗ HTTPS.
    • +16
      ну почему, достаточно не работать в IT сфере
      • 0
        Увы, иногда и в IT сфере встречаются те, кто в соцсети через всякие «супер прокси для вконтакте» ходит, при этом форма логина там выглядит как родная, но отправляет данные через всякие левые сервера, да ещё и по http…
    • 0
      Мне сайт Теле2 предложил вбить свои паспортные данные через HTTP.
  • 0
    Оо, вижу картинки из новой презентации Hot-Wifi ( hot-wifi.ru/presentation.pdf )
    кстати помоему единственный сервис который пускает клиентов напрямую на реальные страницы авторизации!!! Проверял, и фейсбук и контакт и инстаграм и всё отлично.
    • +1
      Далеко не единственный, к слову ;)
  • –18
    Что за бред?! Что за мания величия? Никому даром не сдались ваши пароли и список друзей. Компании предоставляют маркетинговую площадку. Если бы Вы знали СКОЛЬКО стоит реклама, Вы бы поняли пользу подобных сервисов.

    Во-первых из всех перечисленных компаний только wifi-4-like работает с подменой DNS, все остальные через роутер Mikrotik (Hotspot).

    Во-вторых, если Вы заметили, то ТОЛЬКО для ВКонтакте действует «странный» механизм, с подменой страницы авторизации. Почему Вы не задали себе вопрос: почему для ВКонтакте ребята используют фишинговую страницу, а для остальных сетей нет? А все потому что ВКонтакте не предоставляет право по API публиковать пост. А их виджет — говно. Выражается это в том, что ВКонтакте открывает новые окна (popup). А на большинстве устройств (в том числе все устройства Apple), после подключения к такой сети открывается окно авторизации. Так вот, официальное API ВКонтакте открывает новое окно и весь процесс авторизации рушится: либо невозможно открыть popup, либо popup не связан с той страницей, которая его открыла (родитель). Я лично разрабатывал подобный сервис от начала до конца и с ВКонтакте мы воевали 3 месяца, писали им кучу писем на получения права публиковать пост, потом, чтобы они привели свое API в порядок, но всем похер. Сам ВКонтакте не заинтересован в том, чтобы сторонние программисты пользовались их инструментом, и не обманывали своих клиентов.
    К слову говоря, ДАЖЕ у Одноклассников API на размещение поста гораздо удобней, приятней, и качественней.
    А у Facebook и вовсе можно совсем официально запросить право на размещение записей на стене у пользователя (право называется publish_actions).
    В итоге мы пришли к решению с так называемой «фишинговой» страницей. Потому что технических вариантов других просто НЕТ, а бизнес не может без этой социальной сети! Данные получаем по SSL, сами пароли и логины не храним. В политике конфиденциальности это прописано красными буквами. Или вы считаете, что лучше забить на идею, на бизнес только потому что у ВКонтакте API говно?

    В-третьих, ничего не бывает бесплатного. Не нравится — не ешь пользуйся LTE.

    Эпилог.
    Я всегда считал, что сообщество Хабр — это образованные интеллектуалы, которые думают, делают анализ, прежде чем писать статьи. Крайне удивлен человеку, который дал за такую статью инвайт.
    Одно дело — написать дурную статью, другое дело — делать преждевременные выводы, основываясь на недостатке информации.

    P.S. А картинки красивые. Дизайнеры молодцы.
    • –5
      Вот что нам отвечает техническая поддержка ВК на все наши варианты по улучшению их API:
      Здравствуйте, Руслан!

      Не то, чтобы это не работало, потому что наши разработчики не знают, как это сделать. Просто на данный момент у них постоянно находятся более приоритетные задачи. Поверьте, мы ждем решения проблемы с мобильными браузерами не меньше вашего.

      С уважением,
      Агент
    • +6
      То есть в кафе, где я и так оставляю деньги за еду, вайфай предлагается выдавать только за репост говнорекламы в социалочке? Отвратительно
      • –11
        Ну это уже другой разговор, касающийся концепции самого сервиса и его идеи. В метро ведь тоже вайфай предлагают только после просмотра рекламы, хотя ты оплатил проезд.
        • +5
          Я улавливаю некоторую разницу между «посмотреть рекламу» и «распространять рекламу среди своих друзей»
          • –8
            Ты утрируешь. Само собой, есть клиенты, которые на такое не готовы пойти, или отсутствуют регистрации в соц. сетях. Для таких случаев проработаются обычно альтернативные методы авторизации: по смс, по паролю.
          • –6
            Но я больше говорил о том, почему сервисы идут на такие изощрения с технической стороны. Вопрос концепции самого сервиса меня мало касается. Но как клиент заведения, я бы тоже не стал распространять рекламу, которая мне не нравится, и в этом прекрасно тебя понимаю.
      • +2
        Ни одному кафе не нужно что-то подключать и устанавливать (а это всё — не бесплатно), чтобы угощать клиентов халявным инетом. Год назад о подобном никто и не слышал. Но год назад был принят закон, требующий идентификации абонентов. Вот кафе и вынуждены вводить подобную «радость». А те, кто могут им с этим помочь (уже упоминали компании) — убивают двух зайцев одним махом: предлагают идентифицировать абонентов не только через SMS (как в метро), но и через социалки + дают кафешкам механизм сбора статистики о клиентах.
        Пока я не встречал ни одного кафе, где репост обязателен. Обычно обязательно только залогиниваться. Репостить — по желанию. Впрочем, не исключаю, что такие кафе есть.
    • 0
      Лукавите вы, уважаемый.
      Во-первых, проблема с pop-ups обходится даже на устройствах Apple (посмотрите тот же HotWifi к примеру). Во-вторых, в тексте статьи явно сказано: ВК заблокировал их приложение за излишне назойливую рекламную кампанию. Вот и пришлось извращаться. Что касается поста: у FB это крайне урезано в новой версии платформы: например, нельзя вставлять картинку в сам пост.
      Ну и проблемы постить в ВК сейчас нет: да, закрыли прямой wall.post, но можно постить через приложение.
    • +1
      Отвратительно.
  • 0
    Наверное так только у нас «топором по яйцам», ведь куда лучше легкая мотивирующая политика вроде «нам нужен твой вход через социалочку, чтобы посчитать все репосты и выдать тебе карту постоянного клиента».
    А платить за такое деньги и потенциально терять клиентов… глупость какая-то.
  • +4
    Как пользователь, я увидев такое подумал бы что на роутере кафешке хакеры поставили свой софт и воруют пароли.
    Первая мысль была, когда я понял схему, что они вообще превысили допустимые границы, ведь это воровство паролей, не важно с какими намерениями.

    Но если пользователя предупреждают, и честно говорят — или давай нам свой пароль от вк, или сиди без вайфая, то вообщем то все нормально.
    Если мне вай фай критичен, я бы пошел в другую кафешку, или использовал не основной акк вк.
  • +4
    Мда. Благодаря вот таким вот хитросделанным и непонятно чего о себе возомнившим дельцам и умрет WIFI в общественных зонах в условиях наличия нормальной альтернативы в виде толстых и дешевых тарифов на 3G и 4G.
    Но пока что это зло можно обернуть в свою пользу и использовать в качестве лакмусовой бумажки добросовестности кафе. Раз владелец подсовывает гостям такую лажу, бежать нужно из этого заведения резко и стремительно. Ибо очевидно, что обманув в одном, обманет и в другом. И мочи ослиной в кофе нальет непременно. Чего ему стоит?

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.