1985

Как данные карт утекают из-за аналитики.

После недавнего шума по поводу сбора данных приложением Burger King я иногда стал проверять траффик приложений на моем телефоне под управлением iOS. Сегодня наткнулся на статью РБК о том, какие небезопасные приложения по заказу еды https://www.rbc.ru/technology_and_media/26/07/2018/5b58822d9... .

Решил посмотреть, что же шлет самое небезопасное приложение по версии Ростелеком-Solar. Оказалось все проще, они никак не шифруют траффик приложения. Т.е. любой маршрутизатор может без труда поймать email и пароль при регистрации приложения. Хотя стандартная регистрация у них "отключена" (так ответили на мое письмо), только с использованием Facebook я смог создать аккаунт. Притом, отключение достаточно странное, с сервера приходит ошибка

{"phone": "Ensure this field has no more than 12 characters.", "visible": false } которая в приложении отображается просто "Что-то пошло не так". Вот что им ушло по незашифрованному каналу.

Как данные карт утекают из-за аналитики. Безопасность, Аналитика, Mitm, Анализ, IOS, Банковская карта, Длиннопост

Никаких серьезных функций я в приложении не обнаружил, например, оплата картой, и решил на этом закончить. Намного интересней смотреть есть ли уязвимости в приложениях, где есть оплата картой. В одном из таких я нашел отправку аналитику буквально о всех действиях юзера. Я не буду писать название приложения, надеюсь их представители мне ответят и/или примут меры.

На каждое нажатие данное приложение отправляет аналитику сервису https://securedtouch.com/. Зайдя на форму ввода карты и введя определенную последовательность я получил набор нажатий достаточный для примерного определения всех введенных данных карты.

Что я ввел ниже:

Как данные карт утекают из-за аналитики. Безопасность, Аналитика, Mitm, Анализ, IOS, Банковская карта, Длиннопост

Собрав данные о нажатиях со всех запросов ушедших на сервер аналитики (в формате json), я написал простое приложение для iOS для визуализации полученных данных. Для наглядности поместил туда скриншот цифровой клавиатуры. Все нажатия оказались в записанных данных.

Как данные карт утекают из-за аналитики. Безопасность, Аналитика, Mitm, Анализ, IOS, Банковская карта, Длиннопост

Цифры это номера нажатий. Я вводил 1234... 16 цифр. Затем при вводе срока действия карты появляется барабан и на нем скролом выбирается месяц (слева) и год (справа)

Как данные карт утекают из-за аналитики. Безопасность, Аналитика, Mitm, Анализ, IOS, Банковская карта, Длиннопост

Т.е. барабан я прокрутил вверх выбрав 9 месяц и 20 год.

Ну и последнее это CVC

Как данные карт утекают из-за аналитики. Безопасность, Аналитика, Mitm, Анализ, IOS, Банковская карта, Длиннопост

Здесь все нажатия с самого начала, я не углублялся чтобы отфильтровать лишнее, главная задача показать что эти данные пишутся. Нажатия 42, 43, 44 как раз введенные CVC.


Комментируя пост про Burger King я высказывал мнение, что именно факт записи видео сильно возмутил людей, хотя записав все что делал юзер можно почти такое же видео получить. Достаточно поместить все действия юзера на изображения форм приложения.


Использовать аналитику, которая пишет все и вся, нужно быть предельно внимательным к таким критическим частям приложения, где вводятся данные платежных карт или персональная информация.


Для анализа трафика я использовал https://mitmproxy.org/.

Найдены дубликаты

+134
Кибер безопасность. Пидоры блять! Вот чем заниматься надо, а не сайты блочить. А про пидоров, и так думаю все поняли о ком я.
раскрыть ветку 3
+47

...они все(с))

Иллюстрация к комментарию
+17
Государству насрать на твою безопасность. Как на физическую, так и на финансовую
+2

Так они занимаются, просто не на уровне пользователей)

+51

Тут были посты и про прослушку и запись . Вот мой свежий пример. Собрала вещи соседке ( дети выросли) что б она себя неловко не чувствовала , говорю ей, мол мне самой отдают вещи дети быстро растут не успеваем сносить. А некоторые с бирками)) если не нужно у вас деревня же есть отвезите туда , может кому нужно? Она взяла и ушла . Я разблокировала телефон и захожу сюда , и что я вижу? Я никому не звонила и про вещи не говорила. Телефон лежал на тумбочке когда с соседкой разговаривали. Что удивляться, что приложения запоминают цифры которые мы набираем (

Иллюстрация к комментарию
раскрыть ветку 66
+39
за 10 минут до этого смотрел фильм где главный герой рассказывает про необходимость продажи партии краденных макбуков
Иллюстрация к комментарию
раскрыть ветку 13
+12

Честно говоря жутковато

раскрыть ветку 4
+3

Я сохранил фото самогонного апарата и теперь прикабу мне его только и предлагает вот уже пол месяца

+2
Уважаемые кулхацкеры как от этого защитится подскажите пожалуйста
раскрыть ветку 6
+15

Мне тут с интеренет магазина прислали что пора заказать кофе, а он и правда заканчивался ((((

раскрыть ветку 28
+17

Ну это легко, если в том же магазине заказывали в прошлый раз, а еще лучше несколько, то можно примерно вычислить

раскрыть ветку 24
+5

Мне страшно (

раскрыть ветку 2
+8
Хз, у меня криво работает реклама. Сейчас вот предлагает бинокль canon со скидкой 70%, хотя ни про какие тур поездки/наблюдения дикой природы или голых девушек в окнах я не общался. Хотя вчера с коллегой обсуждали в двух словах потребность в очках, но вот так сразу... бинокль.
раскрыть ветку 1
+1

я просто хром запроксировал через ТОР и теперь всегда рандомную хуйню предлагает на мобилке

+2
Последний официальный комментарий от Гугла, насколько я помню, это "Мы слушаем вас, но только после того, как вы скажете Гугл ОК". Это типа активирует программу голосового ввода. Про рекламу - ни слова.
раскрыть ветку 8
+25

хз либо я твоего сарказма не понял, либо ты что то не понял. Как по твоему они тогда слышат что ты сказал именно "Гугл ОК"? Они слушают всегда. Просто отзываются именно на эту фразу

раскрыть ветку 5
+2

Ага ага, сидели с другом пивко пили, он сказал, что к подрядчику компании лср устроился, я в душе не ебал что это за компашка, но когда на сайтах мне начали предлагать новостройки от лср урал я немного был удивлен. Было это еще года 4 назад.

0

потому что никто ничего не докажет

+1

тоже самое было, теперь юзаю эту прогу - https://play.google.com/store/apps/details?id=com.protectsta..., рекомендую

+1

а чего пугаться? Просто зайдите, к примеру, сюда: https://myactivity.google.com/myactivity и тапните на отслеживание действий.

0

И в главной роли всегда ифоны)

0

В хроме выключен доступ к микрофону и камере?

0

А какой браузер используешь?

раскрыть ветку 2
0

Яндекс

раскрыть ветку 1
0

Поэтому я до сих пор хожу с Siemens M55. Хуй с ним с ватсапом, зато точно знаю, что через эту старинную говорилку меня никто не прослушает.

Только компьютер следит за запросами в поисковиках.

раскрыть ветку 2
0

Вот и я кнопочную нокию хочу достать с антресоли))

раскрыть ветку 1
0

Вчера кушали фисташки, уже через 5 минут у жены было сообщение, о скидках на сухофрукты в одной из сетей магазинов.

-1
Я тут в книжном купила открытку (платила картой). Больно они мне приглянулись. Хотела посмотреть в инсте, какие у них ещё есть открытки. И первая же рекламная запись этот аккаунт.
жутко становится, если честно.
+69

Ну конечно, курл по HTTP ска, КАРЛ, и без шифрования. Какой там TLS/SSL...мда. Кодили фрилансеры небось....

раскрыть ветку 14
+33

Не важно на ставке или нет, если нет компетентного надзора любой работник куи пинает, а с почасовой так еще и старается подольше это делать

раскрыть ветку 7
+9
Это все, конечно, хорошо, но прикрутить к проекту let's encrypt - дело пяти (если не трёх) минут, которые избавят твою шею от потенциальных проблем. Да блин, я даже статичный сайт без инпутов завернул бы в https, ибо а чо бы и нет. Одно дело - тянуть время во имя почасовой оплаты и халявить (что тоже зло, впрочем), другое - держать наготове вазелин, потому что срать на азы безопасности.
раскрыть ветку 3
+1

Компетентный надзор над фрилансером?

раскрыть ветку 2
+3

Забавный подход, какая разница кто кодил?
какое тз, такой и результат.

раскрыть ветку 3
+4

Практика показывает, что фрилансерам плевать на качество их работы. Работодатель не всегда в состоянии его оценить.

И да, тз можно уточнять и анализировать до начала разработки.

раскрыть ветку 2
0

Сейчас в конторах столько менеджеров что без кодеров-студентов не одна фирма бы не выжила ведь нужно кормить отряды менеджеров, которые менеджерят других менеджеров.

раскрыть ветку 1
0

Черт, когда мы просим менеджера, нас спрашивают зачем =(

+176
Иллюстрация к комментарию
раскрыть ветку 4
+27
Бэд? Какой обзор?
раскрыть ветку 2
+44

Последний -красный воробей

+16

Красный воробей. Очень хороший разбор этой клюквы

+4

Родина слышит

+9

Вы лучше популярнык приложения препарируйте.

Типа яндекс и гетта. Деливери клаб и подобных

раскрыть ветку 8
+8

Яндекс смотрел, они определяют что сеть прослушивается (certificate pinning скорее всего), показывают предупреждение юзеру об этом и на свой сервер шлют так же информацию об этом. Топовые компании, я уверен, имеют в штате спецов.

раскрыть ветку 3
0

@3amynoK, здравствуйте! Хотелось бы записать с Вами интервью по теме. Можно ли с Вами связаться через почту? Моя yana_lobastova@mail.ru Спасибо!

0

А я правильно понимаю, что если пользоваться херпойми каким бесплатным ВПН из интернета или сомнительными бесплатными вайфаями - очень легко можно похерить пароли и тд от тех приложений/почт и ид, что были задействованы с ними?

раскрыть ветку 1
0
Да да, и еще Aliexpress надо проверить.
раскрыть ветку 3
+8

Али не шлет ничего важного (заказы, профиль юзера и т.п.), если сеть прослушивается. Сумасшедшей аналитики (записи всего и вся) я там не увидел. Надо понимать, что я только смотрю на то, что там идет от приложения, глубоко не копаю.

раскрыть ветку 2
+5

Но ведь данные передаются по https.

Эти данные у конторы давшей тебе это приложение есть и без аналитики так что вопрос только в том можно ли передавать данные в этой аналитической конторе.

Даже если никакого левого трафика не будет приложение может передать платежную информацию третьим лицам ( и обязательно передаст как минимум в банк )

По мне так оснований доверять конторе которой платишь оснований не больше чем аналитической конторе.

То есть контора получила сертификат PCI DSS то эта аналитика наверное учтена и нареканий не вызвала. А если не получила то в любом случае вводить инфу опасно.

раскрыть ветку 22
+8

Возможно вопрос покажется глупым, но зачем вообще передавать пароль в открытом виде? Пусть и по https.

раскрыть ветку 10
+4

А как передавать пароль? В зашифрованном виде и ключ рядом?

Посмотрите, как Facebook передаёт.

раскрыть ветку 9
+2
На скриншоте видно же http
раскрыть ветку 2
-2

Скриншот по приложению из рбкшной заказухи.

А разговор идет про неназванное приложение в котором есть оплата картой

раскрыть ветку 1
+1

Для оплаты там другой сервис используется, видно куда данные карты потом уходят. Конкретно этот сервис аналитики собирает именно действия юзеров. Думаю, все проще, просто, не настроили как надо.

раскрыть ветку 4
0

Ну так какая разница куда данные передаются? Если бы все те же данные шли на один хост это изменило бы ваше отношение к приложению? Ведь вопрос только как они этими данными воспользуются а это проконтролировать вы не можете.

раскрыть ветку 3
0

Вообще контора не должна знать твои данные, они должны использовать сторонние сервисы типа paypal, stripe для оплаты, которые гарантируют защиту

раскрыть ветку 1
+7

Нет. Это вы придумали.

Контора должна обеспечить защиту. Использование сторонних сервисов приема платежей упрощает обеспечение этой защиты и уменьшает количество требований (но не до нуля) и упрощает (но не отменяет) сертификацию.

И под сервисами приема платежей все же имеются ввиду банки а не суррогаты которые вы назвали.

-1
С чего взял, что не используется платежный сервис? Зачем pci dss?
+4
К теме трафика в приложениях: заметил за пару дней 2Гб исходящего трафика хотя телефон почти не юзал. Полез смотреть и офигел. Приложение peel на самсунг гэлекси 2Гб за 2 дня. Хотя эта прога по сути работает как пульт от телика и др. девайсов сплита и т.п.
короч будьте внимательны. Хотел коротенький пост пильнуть, но пруфовый скрин задевал куда то.
раскрыть ветку 3
+3

а,это то самое предустановленное приложение, которое само на телефоне включает режим энергосбережения, когда посчитает нужным, причем энергосбережение управляется этим приложением? которое показывает дохера рекламы на телефоне, как вирус, а отключить можно только на 30 дней? а разрабы на плей маркете себе крутят отзывы и раз в 1-2 недели выпускают обновдения, не меняющие ничего?)

разработчикам стул с пиками нужно подарить

Иллюстрация к комментарию
раскрыть ветку 2
-3
а у меня в сяоми нет такой хуйни, прикиньте, чуваки, хотя пульт есть тож
раскрыть ветку 1
+4

Каким надо быть козлом чтобы гнать траффик с клиентскими данными по http

раскрыть ветку 1
0

перешел с одной работы на другую

обе делают саас продукт и очень похожи в принципе

на новой пароли в базе открытые, сертификатов нет... да еще много  чего  интересного


начинаю ебать главного прогера

в какой-то момент устаю от его закидонов и делаю сам

он мне и говорит - нет, так нельзя, ты поместил свой скрипт не в ту папку, а я тут не просто прогер, а АРХИТЕКТОР

и у нас так не принято

и все такое прочее


блядь, я наверное с ним расстанусь

ибо нахуй такой архитектор

+3

имеется ли способ как то заблокировать отправку такой аналитики на уровне обмена трафика? Интересует андроид.

раскрыть ветку 9
+4

Нужно поставить firewall, запустить и посмотреть куда ломятся. Наверное, есть в firewall-ах  возможность задавать правила на основании статистики. Полез кто-то на securedtouch.com - задать правило чтобы блокировались все подключения.

раскрыть ветку 7
0

Какие еще есть сайты сбора статистики, кроме securedtouch.com ? Чтобы сразу всех заблочить :)

0

годный firewall для android есть? Или умные маршрутизаторы наше всё?

раскрыть ветку 5
0

В комментариях к прошлым статьям мне подсказали Adguard. Он уже настроен против многих сервисов аналитики + ко всему сам можешь его обучить (или скачать готовые фильтры польщователей)

+7

поэтому лучше в приложениях заказывать через applepay или подобную фигню. Там ничего не передается ведь? Если бить в приложение данные карты небезопасно, то лучше так вообще никогда не делать и не пользоваться такими приложениями.

раскрыть ветку 13
+12

Насколько я знаю да, намного безопасней apple pay, там генерируются токены и iOS отвечает за безопасность. Вообще вводить или нет данные зависит от конкретного человека, нужно оценивать авторитет производителя приложения, компаниям уровня яндекс можно доверять. А всяким доставкам еды как в статье РБК доверия на порядок меньше.

раскрыть ветку 9
+1
А в чем именно уязвимость во втором случае (он более интересный). Ведь получается, любое приложение, где вводятся данные платежной карты, может записать серию нажатий и выслать на сервер, где их переведут уже в номер карты и т.д.


Я правильно понимаю?

раскрыть ветку 1
-9
960
969
- - - 112 2525
- - - 412 2525
- - - 442 2525
- - - 142 2525

Сразу скажешь или подобрать? 🤣

Пароль тем же методом. Емейл тоже узнать не трудно, а пароли ты вряд ли везде разные ставишь. Палишь данные перед миллионной аудиторией зря)
раскрыть ветку 6
ещё комментарии
0

Лучше и безопаснее сходить в магазин

раскрыть ветку 2
+3
И купить пивка
раскрыть ветку 1
+2
Бургер Кинг на фоне этой истории все ещё пытается привлечь людей скачивать их приложение...
Иллюстрация к комментарию
раскрыть ветку 2
+1

пусть говна навернут )

0

Качай скорей

+1

привязывать свои карты к говноприложениям, а также использовать для них свои обычные пароли никогда не стоило.

+1

Если юзаешь mitmproxy - рекомендую попробовать также burpsuite (https://portswigger.net/burp/). Хорошая штука, к тому же не теряет пакеты на сокетах быстрее 5МБит. Но предупреждаю: немножко проприетарно.

0

Автор, не нашёл, какой программой пользуетесь для анализа трафика и мобильного приложения?

0
Ха-ха, теперь мы знаем данные твоей карты!
0
А алиэкспресс не проверял? Вот где бомба может быть!
раскрыть ветку 1
0

Али умеет определять что его слушают и запросы АПИ не выполняются. Аналитики я не обнаружил там.

0
чувак, не удивлюсь, если скоро за тобой придут
0
То есть сейчас хакерам даже не нужно ломать сложнейшую защиту банка, можно это сделать через аналитические центры, ведь там защита будет намного прлще
раскрыть ветку 6
0

Так, по-моему, чаще данные карт угоняют не у банков, а у компаний, которые занимаются процессингом.

раскрыть ветку 5
0

@3amynoK, возможно, что нарушен закон о хранении персональных данных.

раскрыть ветку 3
0

@3amynoK, как приложение называется всё-таки?

0

Я когда в 2008 работал в банке программистом, мне были доступны данные не только карт.
Так же были доступны счета и проводки всех клиентов. ТАк же там хранили свои средства все игроки ФК ЦСКА.
И конечно все в открытом виде. Сейчас надеюсь переделали.

0

Объясните, что такое token в понимании программиста?

0

Глянь на досуге приложение Делимобиль, что то мне подсказывает что с безопасностью там не все в порядке.

0

О! С моим совпадает.

0
Нифига не понял, пойду карту сдам обратно в банк, наличка форева !
раскрыть ветку 2
-1

ты ЗП в кассе что-ли получаешь?

раскрыть ветку 1
+1
Могу и в кассе, у мня есть выбор )
0
А в адблок для роутеров этих сборщиков можно добавить? Или приложение не запустится?
раскрыть ветку 1
+4

А адблок конечно же ничего не собирает)

-1

хотите блин лайфхак?!...

не будьте ленивыми жопами и не заказывайте с телефона, тем более с приложений что-то и не вводите карты!

оторвите свою жопу откройте нормальный браузер на компе, например мозилу фаерфокс (собственно нормальной только мозила и осталась! ни в коем случае не пользуйте хром(он сливает ВООБЩЕ ВСЕ), да в общем то и все остальные браузеры, т.к. все они постороены на хроме!) и совершаете заказы и оплату в мозиле!

раскрыть ветку 1
0

Серьезное заявление. Пруфов бы

-1

Вот поэтому, НИКОГДА НЕ ИСПОЛЬЗУЙТЕ WI-FI, если платите куда-то через компьютер/телефон.

раскрыть ветку 12
0

Свой Wifi можно использовать, если все настроено ОК. И оплачивать уже после привязки вроде тоже должно быть безопасно, ваши данные уже надежно хранятся и вы подтверждаете операцию внутри приложения не передавая данные карты

Да и вообще там https, чтобы прослушать трафик, как минимум на iOS, нужно заставить пользователя установить сертификат и сделать его доверенным. Это очень не просто.

раскрыть ветку 2
0

Чтотесть настройка ок для роутера? Запароленная скрытая сеть, сменены дефолтные пассы, запрещен логин "снаружи"?

-2

Что настроено? Пароль не стандартный? Что мешает вклиниться в вифи, за пару дней насобирать пакетов, а потом спокойно парсить на предмет паролей, карт и прочего.

-2
Или используйте что хотите, но через vpn
раскрыть ветку 8
-2

Не поможет

раскрыть ветку 7
-2
Пять лет как послал карты накуй.И спокойно и проблем нет,что извините временно не принимаются,банкомат не работает и возврат сразу делается
-4

И всякие мамкины хипстеры ещё доказывают мне, что наличка- это прошлый век, карточкой расплачиваться удобно и принимают их везде, а виртуальные деньги- это только их деньги, которые они контролируют целиком и полностью. Выёбываются, какие они модные, продвинутые и какие идиоты состоят в "секте любителей нала".

-5
Бургер Кинг не записывал экран ввода данных карты
раскрыть ветку 3
+3

Доказать это уже не смогут. Как и обратное утверждение не было доказано. Но AppSee записывал персональные данные, это факт.

раскрыть ветку 1
-1
С чего взял?
+1
Это они тебе сами сказали?
-7

> Т.е. любой маршрутизатор может без труда поймать email и пароль при регистрации приложения


Подтверждаю, у меня на маршрутизаторе по умолчанию стоит

capture_email_and_password on

-8
Люблю читать такие посты, особенно когда мне втирают, что карты это супернадёжно, а налик это отстой.
раскрыть ветку 19
+13

Не знаю как можно говорить о супернадежности, когда чтобы воспользоваться чужими деньгами нужно 16 + 3 + 2 + 2 цифры и иногда имя держателя карты. Карты это суперудобно, остальное компромиссы. Только безопасность обработки данных карт не терпит компромиссов.

раскрыть ветку 10
+2

ну так-то при переводе деньги зависают один звонок и перевод можно отменить

иногда даже из банка сами звонят и спрашивают куда это вы столько потратили и вообще вы ли это были

раскрыть ветку 2
0
Посоветуйте что нибудь по настройке и обработке трафика. С чего начать? 3ий день ковыряюсь. Уже дошел до установки kali linux. Скоро плять хакером стану :)
0

имя держателя карты не проверяется...

0
Так вот в том и закавыка. Удобно? Да. Надёжно? А хрен его знает. Начиная с того, что денег, по факту, на руках нет. Куском пластика сыт не будешь, особен6о когда банк лицухи лишат, или лимит введут.
Два дня назад я в очередной раз уяснил преимущество налика перед пластиком. Я и раньше это знал, но, 3 года без отпуска, и вот оно, 2 месяца беспредельного отдыха:-)
раскрыть ветку 4
+4

потерять 1 лям налика из сейфа под дулом пистолета и 1 лям с карты две большие разницы

но по факту можно спизить всё

раскрыть ветку 7
+5

Хранить лям на счете с привязанной картой - это долбоебизм. (Именно хранить).

Хранить лям наличности дома в сейфе не под оборотные нужды - так себе. (иногда необходимость, иногда долбоебизм).

Дать знать что у тебя есть 7 значная сумма на карте - это к паяльнику в жопе. (условного соседа поймали на выходе из магазина, запихали в машину пытались выпытать пин и забрали карты).

раскрыть ветку 4
-7
По факту и из банковских ячеек пиздят. Из трёхлитровых банков можно просрать толлко при собственной, очень большой, тупости.
раскрыть ветку 1
ещё комментарии
ещё комментарии
Похожие посты
Похожие посты закончились. Возможно, вас заинтересуют другие посты по тегам: