- 93
- 136
- 27 Фев 2018
Общая идея и объяснение сути уязвимости.
Это до сих пор не прикрыли и не прикроют, хотя, по моему мнению -это огромная дыра.
Это работает не только с киви, я хочу вам объяснить саму сутьподобных уязвимостей.
У киви есть мобильное приложение, с помощью которого можнопереводить деньги без подтверждения смс. Думаю, это понятно.Многие уже догадались о чём идёт речь? Что бы подключитьмобильное приложение к кошельку нужен лишь код из смс. Меня удивило само содержание смс. (подробное содержание будет вовторой части) там говорится об "авторизации в киви" и единственное,что палится, так это "авторизация через android", но в большинствеслучаев мамонты на это забивают. Вообщем смс не палится
Я это всё к чему? Как можно этим воспользоваться?
Для начала нам понадобится сервер или хостинг, на него мы поставимавторизацию киви, но с дополнением.
Что будет на нашем хостинге?
первая страничка - обычная авторизация. Авторизацию желательносделать с проверкой данных на валидность, тобеж если введенныеданные неверны - просит ввести заного. Но это не обязательно.
После успешной авторизации будет вторая фейковай страничка сподобным содержанием: "Проверка безопасности, введите код из sms:"
Чуть ниже опишу зачем это.
Как только фейк фейк готов, нам нужно подменить dns у жертвы. имеядоступ к компьютеру, сделать это несложно(можно даже через файлhosts или роутер), например через rat или написать батник.
Как это будет работать?
Нам нужен эмулятор андроид, ставим на него киви. Нам просто нужноподключить мобильное приложение, но жертва об этом не узнает)
Когда жертва зайдёт на киви со своего компухтера, то попадёт на нашфейк. Введёт данные, нам нужно быстренько их заполнить вприложении в эмуляторе, когда мамонт будет на второй страничке с"Введите код из смс", мы придумываем пин код, жертве отправится смскак раз на этом моменте. Жертва вводит код, вводим его в приложуху иу нас есть доступ к кошельку, мы можем спокойно перевести деньгисебе. Все можно легко(нет) автоматизировать. Для жертвы этовыглядит как простая проверка безопасности. "Авторизовался,выкинуло на проверку безопасности и пришёл какой-то код дляавторизации, ввёл и перекинуло в кошелёк" только вот киви непредупреждает, что это подключение мобильного приложения
Это до сих пор не прикрыли и не прикроют, хотя, по моему мнению -это огромная дыра.
Это работает не только с киви, я хочу вам объяснить саму сутьподобных уязвимостей.
У киви есть мобильное приложение, с помощью которого можнопереводить деньги без подтверждения смс. Думаю, это понятно.Многие уже догадались о чём идёт речь? Что бы подключитьмобильное приложение к кошельку нужен лишь код из смс. Меня удивило само содержание смс. (подробное содержание будет вовторой части) там говорится об "авторизации в киви" и единственное,что палится, так это "авторизация через android", но в большинствеслучаев мамонты на это забивают. Вообщем смс не палится
Я это всё к чему? Как можно этим воспользоваться?
Для начала нам понадобится сервер или хостинг, на него мы поставимавторизацию киви, но с дополнением.
Что будет на нашем хостинге?
первая страничка - обычная авторизация. Авторизацию желательносделать с проверкой данных на валидность, тобеж если введенныеданные неверны - просит ввести заного. Но это не обязательно.
После успешной авторизации будет вторая фейковай страничка сподобным содержанием: "Проверка безопасности, введите код из sms:"
Чуть ниже опишу зачем это.
Как только фейк фейк готов, нам нужно подменить dns у жертвы. имеядоступ к компьютеру, сделать это несложно(можно даже через файлhosts или роутер), например через rat или написать батник.
Как это будет работать?
Нам нужен эмулятор андроид, ставим на него киви. Нам просто нужноподключить мобильное приложение, но жертва об этом не узнает)
Когда жертва зайдёт на киви со своего компухтера, то попадёт на нашфейк. Введёт данные, нам нужно быстренько их заполнить вприложении в эмуляторе, когда мамонт будет на второй страничке с"Введите код из смс", мы придумываем пин код, жертве отправится смскак раз на этом моменте. Жертва вводит код, вводим его в приложуху иу нас есть доступ к кошельку, мы можем спокойно перевести деньгисебе. Все можно легко(нет) автоматизировать. Для жертвы этовыглядит как простая проверка безопасности. "Авторизовался,выкинуло на проверку безопасности и пришёл какой-то код дляавторизации, ввёл и перекинуло в кошелёк" только вот киви непредупреждает, что это подключение мобильного приложения
