ledy_lisichka (ledy_lisichka) wrote,
ledy_lisichka
ledy_lisichka

DPI мобильных операторов : от бесплатного интернета до раскрытия номера и местоположения

Известный ресурс для айтишников в рунете - хабрахабр уже начал гудеть от опубликованной там вчера в обед статьи "DPI мобильных операторов: от бесплатного интернета до раскрытия номера и местоположения".
Так как ресурс, что называется, "не для всех" и информация, изложенная в той статье, наверняка прошла бы мимо 99% читателей и пользователей сотовой связи, я бы хотел кратко и более доступным языком объяснить какой лютый треш сегодня на самом деле был обнародован!

Гениальный чувак, автор той статьи, сумел разобраться с тем, как сотовые операторы

внедряют свои служебные заголовки в открываемые абонентами сотовых операторов страницы различных служебных сайтов сотовых операторов и научился модифицировать эти заголовки таким образом, чтобы при заходе на сайт вообще не принадлежащий сотовому оператору, от абонента на этот сайт отдавались следующие данные:

1) номер телефона абонента, закрепленный за SIM-картой, с которой происходит выход в интернет при заходе на такой злонамеренный сайт.
2) в некоторых случаях IMEI устройства.
3) при некоторых условиях - местоположения абонента по идентификаторам базовой станции, на которой сейчас работает абонент.
4) иные данные.
Опубликована уязвимость у всех российских сотовых операторов, позволяющая узнать номер, IMEI и местоположение абонента.

Кроме того, автор той статьи научился таким образом модифицировать заголовки своих запросов, что есть возможность попадать в личные кабинеты чужих номеров и работать в чужих Личных кабинентах с чужими номерами как со своими, а также получать бесплатный доступ в интернет при нулевом или отрицательном балансе.

Особо подчеркну, что никакие соксы и прокси, vpn, ssh и т.д. и т.п. пока на данный момент не помогут защититься от раскрытия указанных данных!

На самом хабрахабре уже опубликована ссылка на тестовый сайт, при заходе на который любой абонент МТС тут же увидит свой номер и получит входящий звонок. Можете попробовать сами!
Прошу оценить ситуацию: простой заход на тестовый сайт, не имеющий никакого отношения к доменам сотовых операторов и Вы деанонимизированы.

Как пишет автор статьи, дыра лишь частично закрыта сотовыми операторами с 2016 года, но большая часть уязвимостей не закрыта по текущий день.
https://habrahabr.ru/post/345852/
АШ

Даже страшно себе представить, какой простор для мошеннических схем сейчас будет открыт...
(Увод денег с карт абонентов)

PDI шлюз неверно реагирует на заголовки. Не сверяет их с ип адресом конечного хоста. Ну и отдает в X заголовках всю информацию, будто общение идет с конкретным сервисом оператора.

А вы ходите с телефона по всяким сайтикам ?
Включая операторские ?



Tags: афёры века, гаджеты, интернет
Subscribe
promo ledy_lisichka july 5, 2014 23:54 2
Buy for 50 tokens
О рекламе в блоге, статистика, варианты сотрудничества
Для рекламодателей и желающих разместить здесь свои посты. В рейтинге LiveJournal по России мой блог занимает 9-е место, в Калининградской области №1. Вашу рекламу увидят сотни тысяч человек. Рассмотрю все варианты сотрудничества, присылайте ваши предложения и пожелания на эту почту -…
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    switch
    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    Help
  • 15 comments

Bestreadercom

December 31 2017, 12:45:08 UTC 4 months ago Edited:  December 31 2017, 12:45:27 UTC

  • New comment
Ты не поверишь, Лиса!

Больше года назад решил, что ежедневное мозгоебство с зарядкой смарта становится утомительным. И купил Никию 220, кажется. Простой кнопочный современный телефон.

Оно ведь как? В наше время доступ к сети всегда под рукой даже если у тебя его самого нет. Так на кой мне эта обуза? Нокия на одной зарядке живет неделю.

Смарт так и пылится где-то в недрах одной из прикроватных тумб уже больше года.

Вот если роутер с раздачей вай-фая начнет так чудить, это проблема, да. А так? Похуй.

Темой сетевой безопасности я занимался еще в 2001 году. Как занимался? Эксперты ФСБ участвовали из "подвалов Лубянки". Некоторые люди выводили на хакеров, и мы больше в кафешке общались, нежели документировали для материала. Главное, что я тогда вынес, если у тебя есть доступ в сеть, всегда считай, что ты стоишь нагим без трусов посреди Красной площади. Или на Таймс-сквер. Не важно.

Так что на самом деле ничего нового. Разве что вскоре, судя по динамике, либерасты-хомячки узнают о том, что Оруэлл слишком мягко брал по сравнению с тем, насколько их жизни и мысли сейчас, в объективной реальности, абсолютно прозрачны и контролируемы западными правительствами.

В России, слава богу, пока еще свобода. Эталонная для демократии. Хотя, пора уже закрутить яйца отдельным категориям воинствующего и невежественного быдла, возомнившего себя передовыми.