Holli ™ предлагает Вам запомнить сайт «ХОЛЛИВИЗОР»
Вы хотите запомнить сайт «ХОЛЛИВИЗОР»?
Да Нет
×
Прогноз погоды

Если ум слеп, то что пользы в зрячих глазах.

Я протестировал государственный мессенджер из Крыма и с лёгкостью взломал аккаунт

развернуть

Я протестировал государственный мессенджер из Крыма и с лёгкостью взломал аккаунт

Разработчики «Диалог М» заявляли, что сервис безопасен.

Я протестировал государственный мессенджер из Крыма и с лёгкостью взломал аккаунт
Переписка с участием взломанного аккаунта

15 апреля госкомпания «Крымтехнологии» начала открыто тестировать собственный мессенджер «Диалог М». Разработчики напрямую связали ранний запуск своего «быстрого и безопасного» сервиса с решением о блокировке Telegram. В Крыму назвали «Диалог М» возможной альтернативой «подобным приложениям иностранных компаний» и отметили: «В плане конференции он будет даже получше, чем Telegram».

Я протестировал браузерную версию «Диалог М» и убедился, что он не так безопасен, как заявляли авторы. Любой аккаунт можно украсть за 3-4 минуты.

Заходим в форму авторизации и вбиваем произвольный номер.

Я протестировал государственный мессенджер из Крыма и с лёгкостью взломал аккаунт

После этого форма предлагает ввести код, пришедший на указанный номер. Если попытаться отправить код, то видно, что он проверяется по адресу https://im.krtech.ru/auth/3556666666666/xxxx.

Оказывается, что этот URL можно «дёргать» как угодно часто, поэтому пишем простенькую функцию, которая подбирает четырёхзначный код.

Я протестировал государственный мессенджер из Крыма и с лёгкостью взломал аккаунт

Через короткое время код находится.

Я протестировал государственный мессенджер из Крыма и с лёгкостью взломал аккаунт

В моём случае код оказался 5817. Но, судя по всему, сам код одноразовый, так как повторный вызовhttps://im.krtech.ru/auth/3556666666666/5817 выдаёт ошибку, а, значит, залогиниться по нему уже не получится.

Однако в ответ на запрос вернулся токен, который, может быть, остался годен. Чтобы проверить его, идём в JS-код, и ищем, откуда происходит запрос на адрес https://im.krtech.ru/auth/...

Строка быстро отыскивается.

Я протестировал государственный мессенджер из Крыма и с лёгкостью взломал аккаунт

Ставим брейкпоинт и снова нажимаем на кнопку авторизации. Прослеживаем, как код исполняется дальше и попадаем в место, в котором обрабатывается ответ от сервера. Здесь подменяем ответ с ошибкой на токен, который до этого получили перебором.

Я протестировал государственный мессенджер из Крыма и с лёгкостью взломал аккаунт

Запускаем код дальше и оказываемся авторизованными. Можно даже написать кому-нибудь.

Я протестировал государственный мессенджер из Крыма и с лёгкостью взломал аккаунт

Всё то же самое можно сделать с номером уже зарегистрированного пользователя и, таким образом, «угнать» аккаунт.

Автор угнал аккаунт редактора TJ в «Диалог М» в качестве эксперимента и с его согласия, а также с надеждой на то, что разработчики исправятся. Лучше так не делать.

Неправомерный доступ к компьютерной информации преследуется по закону.

Я протестировал государственный мессенджер из Крыма и с лёгкостью взломал аккаунт

И вот что говорил глава Роскомнадзора Александр Жаров про мессенджер "Диалог М", где любого пользователя, как оказалось, можно взломать за три-четыре минуты )

Варламов


Источник →

Опубликовано 15.04.2018 в 21:24
Статистика 1
Показы: 1 Охват: 0 Прочтений: 0

Комментарии

Показать предыдущие комментарии (показано %s из %s)
Показать новые комментарии
Комментарии Facebook
Матом и кувалдой: Раскрыта г…

Матом и кувалдой: Раскрыта главная ошибка сборщиков упавшего «Союза»

20 окт, 15:14
0 0
Статистика 1
Показы: 1 Охват: 0 Прочтений: 0
Андрей Макаревич написал пес…

Андрей Макаревич написал песню по мотивам нашумевшего выступления Владимира Путина

20 окт, 15:09
0 0
Статистика 1
Показы: 1 Охват: 0 Прочтений: 0
Мой завтрак ДОМА стоит 25 ру…

Мой завтрак ДОМА стоит 25 рублей и тянет на 620 ккал. А сколько стоит ваш?

20 окт, 09:59
0 0
Статистика 1
Показы: 1 Охват: 0 Прочтений: 0
В России зреет странная ситу…

В России зреет странная ситуация: верхи не могут, а низы не хотят

20 окт, 09:08
0 0
Статистика 1
Показы: 1 Охват: 0 Прочтений: 0
C кем чеченцы никогда не здо…

C кем чеченцы никогда не здороваются за руку?

20 окт, 09:03
0 0
Статистика 1
Показы: 1 Охват: 0 Прочтений: 0
Будущие пенсионеры не хотят …

Будущие пенсионеры не хотят переучиваться даже бесплатно и со стипендией

20 окт, 08:42
0 0
Статистика 1
Показы: 1 Охват: 0 Прочтений: 0
«И ничего»: Медведев напомни…

«И ничего»: Медведев напомнил о жившем десятилетиями под санкциями СССР

19 окт, 20:29
-7 13
Статистика 1
Показы: 1 Охват: 0 Прочтений: 0
Как советская пропаганда обр…

Как советская пропаганда обрабатывала детей.

19 окт, 20:12
-4 10
Статистика 1
Показы: 1 Охват: 0 Прочтений: 0
Читать
Свежие темы
Матом и кувалдой: Раскрыта главная ошибка сборщиков упавшего «Союза»
20 окт, 15:14
0 0
Статистика 1
Показы: 1 Охват: 0 Прочтений: 0
Андрей Макаревич написал песню по мотивам нашумевшего выступления Владимира Путина
20 окт, 15:09
0 0
Статистика 1
Показы: 1 Охват: 0 Прочтений: 0
Мой завтрак ДОМА стоит 25 рублей и тянет на 620 ккал. А сколько стоит ваш?
20 окт, 09:59
0 0
Статистика 1
Показы: 1 Охват: 0 Прочтений: 0

Последние комментарии

Геннадий Колесник
valerij doronin
сейчас образование толерантно...
valerij doronin Как советская пропаганда обрабатывала детей.
Румина Мавлеева (Саитова)

Поиск по блогу