この短いストーリーには2つの部分があります。
- 開発者の不注意による可能性が最も高いと思われる脆弱性の検出。
- ビーラインでの発見の報告。
しかし、すべてが非常に単純だった場合、この投稿は表示されませんでした。
パート1.何が起こったのですか?
昨日、Android StudioでアプリケーションをデバッグしているときにLogcatを開くと、「My Beeline」が点滅していることがわかりました。 それで何? 私は本当にこのアプリケーションをインストールしています。 多くのアプリケーションは何かをログに書き込みます。
しかし。 これは、HTTP要求および応答ログであることが判明しました。 繰り返しますが、これはそれほど怖くないです。 API要求リンク、成功した応答に関するメッセージ。
しかし。 リンクに加えて、ヘッダーとリクエスト本文、 jsonコンテンツ(慎重にフォーマットされた)およびトークンセッション。
次に、自分でポップコーンを作成し、キーワード「beeline」でフィルタリングして、アプリケーションのネットワークライフを監視します。
パート2.アラームを鳴らします。
もちろん、これは残すべきではありません。 ためらうことなく、私は上記の会社のサイトに行き、斜めに目を走り、そのサイトでサポートとのチャットを開始するという申し出に勝るものはありません。 もちろん、私はチャットボットの形で顔を制御します。
その後、次のダイアログが表示されました。
ボット:チャットにお問い合わせいただきありがとうございます。 質問をすると、当社の専門家が解決策を見つけます。
私:こんにちは、あなたのAndroidアプリケーションの脆弱性を偶然発見しました。どこで報告できますか?
ボット: iMessageとFaceTimeはAppleが開発したテクノロジーであり、有料で利用できます。 使用するにはインターネット接続が必要です。 iMessage-テキストメッセージを別のiMessageユーザーに送信できます。 サービスの無効化は、デバイスの設定で可能です:「設定」-「メッセージ」-「iMessage」-無効化。 FaceTimeは、Appleデバイス間でビデオとオーディオの呼び出しを行うことができるプログラムです。 デバイスの設定でこのオプションを無効にすることもできます:「設定」-「FaceTime」-無効。 このサービスの可能性についてまだ質問がある場合は、それらに連絡することができます。 Apple iPhoneサポート:8-800-555-67-34(無料通話)。
私:何?
ボット:興味のあることを指定してください。
私:あなたのAndroidアプリケーションの脆弱性を偶然発見しました。どこで報告できますか?
ボット: iMessageとFaceTimeはAppleが開発したテクノロジーであり、有料で利用できます。 使用するにはインターネット接続が必要です。 iMessage-テキストメッセージを別のiMessageユーザーに送信できます。 サービスの無効化は、デバイスの設定で可能です:「設定」-「メッセージ」-「iMessage」-無効化。 FaceTimeは、Appleデバイス間でビデオとオーディオの呼び出しを行うことができるプログラムです。 デバイスの設定でこのオプションを無効にすることもできます:「設定」-「FaceTime」-無効。 このサービスの可能性についてまだ質問がある場合は、それらに連絡することができます。 Apple iPhoneサポート:8-800-555-67-34(無料通話)。
私:何が起きているの?
ボット:質問を再定式化してください。
私:あなたのAndroidアプリケーションの脆弱性を偶然発見しました。どこで報告できますか?
ボット: iMessageとFaceTimeはAppleが開発したテクノロジーであり、有料で利用できます。 使用するにはインターネット接続が必要です。 iMessage-テキストメッセージを別のiMessageユーザーに送信できます。 サービスの無効化は、デバイスの設定で可能です:「設定」-「メッセージ」-「iMessage」-無効化。 FaceTimeは、Appleデバイス間でビデオとオーディオの呼び出しを行うことができるプログラムです。 デバイスの設定でこのオプションを無効にすることもできます:「設定」-「FaceTime」-無効。 このサービスの可能性についてまだ質問がある場合は、それらに連絡することができます。 Apple iPhoneサポート:8-800-555-67-34(無料通話)。
ボットがどのようなキーワードでしつこいのか、まったく想像できません。 私は留守番電話とのこの会話にすぐに退屈しました。 私は別の組み合わせを試してみました、そして、見よ、ヘルプ情報が再び私の上に山積みになりましたが、最後にはまだ実在の人物と話すように申し出られました。 ヒューレ、特定のオレグが登場し、ロボットとの対話を研究し(おそらくロボットが彼に取って代わることはないだろうと彼は安心しました)、otvet @ beeline.ruのスクリーンショットで私の発見を説明するようにアドバイスしました(サイトでその言及を見つけませんでした、それは悪いかもしれません探していました)。 それからオレグは助けてくれたことに感謝し、他のロボットを手伝うために立ち去った。
私は、進行状況を喜んで、示されたメールに以下を書いた:
こんにちは
My Beeline AndroidアプリケーションがすべてのAPIリクエストをトークンとjsonコンテンツとともにログにマージすることを偶然発見しました。 私の意見では、これは脆弱性です。
よろしく
コズロフ・ミハイル
彼は満足し、コーヒーを飲んで仕事を続けました。 今日は答えが来ました。
こんにちはマイケル!
何があなたのために正確に機能しないかは明確ではありません。 問題を詳細に説明してください。
Beelineサービスをご利用いただきありがとうございます。
よろしく
ネクラソフ・ヴィャチェスラフ、
Beelineカスタマーサポートサービス。
facepalmの儀式の後、私には役に立たなかったがチャットボット、サポートサービス、およびアプリケーション開発者向けのメッセージを書かないようにするために、問題をより詳しく説明しました。
今回、私は長く待つ必要はありませんでした、答えは5分で来ました。
親愛なる顧客! 私たちは時代に遅れないように努力し、関連する通信チャネルでサービスを提供します。 できるだけ早くフィードバックを受け取ることが重要です。 メールサポートは利用できません。 質問に対する回答をすぐに得るために、ウェブサイトhttps://beeline.ru/customers/pomosh/またはモバイルアプリケーションhttps://beeline.ru/dlで専門家とチャットすることをお勧めします 。 このレターは自動的に生成されるため、応答は不要です。 サイトまたはモバイルアプリケーションでのチャットでお待ちしています。 あなたのビーライン!
