Странности

Блогер протестировал новый мессенджер из Крыма и с легкостью взломал аккаунт

Понедельник, 16 апреля 2018, 14:01 | Симферополь

Автор TJournal в качестве эксперимента в несколько кликов взломал собственный мессенджер госкомпании «Крымтехнологии» — «Диалог-М», который разработчики позиционировали как безопасную и надежную замену Телеграм, заблокированному судом на прошлой неделе.

«Я протестировал браузерную версию «Диалог М» и убедился, что он не так безопасен, как заявляли авторы. Любой аккаунт можно украсть за 3-4 минуты.

Заходим в форму авторизации и вбиваем произвольный номер.

После этого форма предлагает ввести код, пришедший на указанный номер. Если попытаться отправить код, то видно, что он проверяется по адресу https://im.krtech.ru/auth/3556666666666/xxxx.

Оказывается, что этот URL можно «дергать» как угодно часто, поэтому пишем простенькую функцию, которая подбирает четырехзначный код.

Через короткое время код находится.

В моем случае код оказался 5817. Но, судя по всему, сам код одноразовый, так как повторный вызов https://im.krtech.ru/auth/3556666666666/5817 выдает ошибку, а, значит, залогиниться по нему уже не получится.

Однако в ответ на запрос вернулся токен, который, может быть, остался годен. Чтобы проверить его, идем в JS-код, и ищем, откуда происходит запрос на адрес https://im.krtech.ru/auth/...

Читайте: В Крыму пройдет трейловая гонка Crimea X Run

Строка быстро отыскивается.

Ставим брейкпоинт и снова нажимаем на кнопку авторизации. Прослеживаем, как код исполняется дальше и попадаем в место, в котором обрабатывается ответ от сервера. Здесь подменяем ответ с ошибкой на токен, который до этого получили перебором.

Запускаем код дальше и оказываемся авторизованными. Можно даже написать кому-нибудь.

Все то же самое можно сделать с номером уже зарегистрированного пользователя и, таким образом, «угнать» аккаунт», - рассказывает автор.

Автор угнал аккаунт редактора TJ в «Диалог М» в качестве эксперимента и с его согласия, а также с надеждой на то, что разработчики исправятся. Лучше так не делать. Неправомерный доступ к компьютерной информации преследуется по закону.

Напомним, на днях госкомпания «Крымтехнологии» начала открыто тестировать собственный мессенджер «Диалог М». Разработчики напрямую связали ранний запуск своего «быстрого и безопасного» сервиса с решением о блокировке Telegram.

Новости Крыма, 3652.ru

Просмотров: 4413

Новости за: 2018апрель 201816 апреля 2018

Досуг, развлечения, тусовки, концерты, фестивали
В Крыму пройдет конный казачий поход
Крымчанам напомнили о шести рабочих днях на этой неделе
Подзаборная выставка снова откроется на улицах Коктебеля
В Евпатории провели конкурс «Детский голос Крыма»
На фестивале «Бубновка-2018» состоится десантирование парашютистов и реконструкция
Вся тема
Загрузка...
Главное за сутки
Трасса «Таврида» построена менее чем на треть
Трасса «Таврида» построена менее чем на треть
Евпаторийские пляжи обещают подготовить к маю
Евпаторийские пляжи обещают подготовить к маю
В Севастополе приостановлена деятельность «Академии шпионажа»
Задержание доверенного лица Путина из Крыма: стали известны подробности
В Крыму продолжают массово гибнуть дельфины
Набережная Омеги в Севастополе тонет в мусоре
Набережная Омеги в Севастополе тонет в мусоре
В Ялтинском заповеднике локализовали пожар
В Крыму сохраняется запрет на костры
Все новости дня
© 2018-2006 Новости Крыма
Все права защищены. Перепечатка материалов разрешена только при условии прямой гиперссылки (http://news.allcrimea.net) на Новости Крыма. Использование фотографий строго запрещено.

Полная версия сайта

Обратная связь

Реклама на сайте

Политика конфидициальности

Отказ от ответственности