Przejmowanie cudzych MMSów w Orange
Po niedzielnej wpadce MMSowej w Play otrzymaliśmy informację od naszego czytelnika, ukrywającego się pod pseudonimem malinka, że w sieci Orange z powodu błędów w aplikacji www można oglądać cudze MMSy. Sprawdziliśmy – metoda działa.
Poniżej zamieszczamy jedynie ogólną informację, ponieważ szczegóły błędu przekazaliśmy firmie Orange. Z ich publikacją chcemy się wstrzymać do momentu, aż Orange naprawi błąd (lub przynajmniej wyłączy wadliwą usługę). Nie chcielibyście, żeby jakiś haker oglądał Wasze MMSy, prawda?
Błąd, zgłoszony przez malinkę, istnieje w usłudze Multi Box. Umożliwia on przejęcie losowo wybranego MMSa (nie ma możliwości wyszukania MMSów konkretnego nadawcy lub odbiorcy). Przejęta wiadomość znika ze skrzynki oryginalnego odbiorcy i pojawia się w skrzynce atakującego, umożliwiając mu zapoznanie się z jej treścią czy przesłanie dalej. Efekt weryfikacji błędu przedstawiamy poniżej – to treść MMSa, wysłanego na numer Orange, oglądanego z zupełnie innego konta.
Nasz MMS odczytany z cudzego konta
Dodatkowo malinka wskazał także na inny błąd, umożliwiający poznanie dla dowolnego MMSa numeru nadawcy, numeru odbiorcy, daty i godziny nadania oraz rozmiaru wiadomości. Wobec możliwości obejrzenia treści wiadomości, ten drugi błąd wydaje się być banalny.
Pogląd numeru odbiorcy MMSa w komunikacie o błędzie
Podobne wpisy
- Podstawy Bezpieczeństwa: Jak zadbać o bezpieczeństwo i prywatność na Discordzie
- Podstawy Bezpieczeństwa: LinkedIn – jak zadbać o prywatność i bezpieczeństwo
- Podstawy Bezpieczeństwa: Jak zadbać o swoją prywatność, używając Androida
- Podstawy Bezpieczeństwa: WhatsApp – jak zadbać o bezpieczeństwo i prywatność
- Podstawy Bezpieczeństwa: Prywatność i bezpieczeństwo na Instagramie
Zdaje się, że pierwszy błąd już naprawili, ale drugi wciąż występuje.
Wydaje mi się ze wystarczy otworzyć mms na swojej skrzynce i zmieniać id mmsa w polu adresu strony wtedy możemy sobie zobaczyć inne mmsy, na screenie widać ze konkretna wiadomość jest przejęta dlatego ze już znaliśmy id mmsa więc problemu nie było, ale nie powiem fajna akcja :P kto wie jakie rzeczy można było zobaczyć :P
Ciekawe ile osób ustawiło bota do pobierania tych załączników ;]
No to chyba wystarczy zgadnac jakis numer mms’a. jakos nie widze problemu w losowaniu cyferek ;)
Witam, czy mogę prosić autora tego artykułu o kontakt i informację w jaki sposób wykonał opisaną operację. Jeśli posiadasz konto na facebooku proszę prześlij te informacje przez ten formularz: http://on.fb.me/GBc6Hm. Ewentualnie proszę o informację na jaki adres sprawa była zgłaszana.
Pozdrawiam
Hubert
Dobry scam jest dobry.
Potwierdzam, problem został usunięty dzisiejszego ranka. Opisywane utrudnienia nie powinny już występować.