介绍
该应用程序出现了→看到了一个安静的恐惧→开始写负面评论→按书架分类→删除了该应用程序(发送以供修订)。大家好,在本文中,当一切都过去后,我想向您介绍以上两个关键阶段。什么样的应用程序可以在这里阅读。还有关于借口和修改的信息。切入后,我们将与您一起看到在应用程序分析开始时所看到的内容,并回顾代码中所有有趣的内容。我们会喜欢这种泄漏的应用程序,不会接受“看看我们做了多长时间”。背景
这一切都是从电报频道“ IT和COPM ”开始的。我没有立即在Play Market和以下APK中看到包含该应用程序链接的帖子。大约30分钟后,我决定从该频道的帖子数量开始阅读。那时,这些家伙已经对应用程序进行了反编译,并积极监视数据的发送位置。他们提取了一些端点,主机,令牌,开始发布代码片段的屏幕截图。拥有应用APK的,他们请人发表关于反编译的代码GitHub的 -一个小时后半它被张贴。然后我连接了...主要部分
后盾
首先,我想说的是,在应用程序内部有一个用于使用Identix.one人脸识别服务API的令牌。这些人的工作方式是,首先他们需要将照片和数据加载到用户数据库中,然后才可以发送照片进行识别。
令牌位于应用程序中,并通过客户端而不是后端使用此服务的API。因此,任何已经撕掉令牌的用户都可以开始下载俄罗斯联邦公民的任何照片并接收有关他们的信息。听起来很赞。
看了这项服务的资费后,我意识到这通常用于闭路电视摄像机。对于每台相机,您都必须支付高额费用,并且令应用程序开发人员必须为此支付多少费用感到惊讶。进入API文档部分,获得大量的用户群和其他东西对我来说似乎很有趣。因此,我决定满足请求并检查令牌。幸运的是,该令牌已被禁用,我立即通过Twitter通知了IT和COPM频道的所有者。
我从背面开始学习,因为我打算在那里找到一些有趣的东西(例如sql inj)。我们已经有主机和进入管理面板的链接。在管理区去了。立即查看查询,很明显这是某种大气框架。当我看到请求中的野驴时,它如何标记按下了哪个按钮,设置了表单中的哪个标志,我感到沮丧。我不想深入研究这个问题,并尽我所能-我将“ Atmosphere Framework CVE”开到了Google。快速浏览头条新闻,我发现除了XSS之外没有其他有趣的内容,并且走得更远。然后我去了我们知道的其他端点。这些端点是开始和结束工作的笔。这将表征工作时间的长短。已经有一个代码。我打开了项目,将其擦到正确的位置,然后开始研究参数。其中包括deviceEUI,idxid,纬度和经度。如果使用最后两个立即清除,则使用第一个-否。在花了N分钟时间成功完成请求后,我决定接受Access拒绝。然后,为了了解研究对象,我决定自己下载该应用程序。我下载了它,但现在无法登录了……那时他们已经备份了(但是我还不知道)。打开项目代码不是在GitHub上,而是完全在构思中,我开始寻找新的端点。找到了!适当的名称:/ api / covid /设备 ...我已经开始研究这些笔。很长时间以来,我不了解授权的进行方式,带有令牌的标头或其他内容在哪里。然后它突然降临在我身上……她走了!确定这一点之后,在分析了请求的处理和生成之后,我在后端部分做出了结论,然后再次将其发送给Twitter。后端部分的结论:通过发送有关您的设备(电话)的信息进行注册。这包括地址,电话号码,姓名等。注册后,他们会立即要求您提供照片并将其上传到您的个人资料。实际上,为了指示这是谁的照片,在请求-IMEI中指示了一个附加参数。它位于设备模型的deviceId字段中我们在注册的第一步中发送的邮件。没有验证IMEI属于您。值得发送别人的-据说您是从其他设备成功完成了请求。值得注意的是,在端点之间有/ api / covid / Device / password,但是响应的处理如下:
在注册设备后,API返回authCode,但不幸的是,此代码存储在object字段中并位于对象字段中,从而积聚了灰尘。不参与其他请求的形成。因此,在没有身份验证的情况下,任何用户都知道IMEI一个人(或捡起/整理出来)可能会发送错误的地理位置信息,上传照片,在工作日开始时发送状态信息等等。我很想玩这样一个有趣的实现,但是,a,所有功能都被关闭了。从那时起,我开始完全接触代码并描述在Telegram频道中看到的内容。事实证明,这些段落之间没有任何联系,但完全是胡说八道,但是在这篇文章发表之后,我发现有实力(已经是2-3个晚上)重写并使其可读。应用解析
立即值得注意的是,此时的应用程序不再起作用。因此,我不知道它是视觉的。他盲目地通过代码研究了所有内容,这远非所有!我们都知道反编译是什么,但是发生的事情足以得出某些结论。该应用程序存储有关您的设备,名称,电话号码,地址的信息。有一些晦涩的领域,例如comment。还有有趣的人-医生。为了识别人脸,使用了identix服务(与后面的参数相同)。它允许您从上传的照片中返回年龄,性别和其他信息。应用程序内部使用了一个人的唯一标识符。两种类型的设备用于导航:蓝牙,wifi。两者都有一个名称和RSSI(信号质量,是指到一个点的距离)。您的地理位置得益于Google和GPS模块。在各种类型的存储信息中,有一个位置。令人惊讶的是,它具有众多领域。包括电池电量,步数(尽管为此使用了单独的型号)等等。在设置中,您可以设置遥测间隔。收集和运输。不确定是否可以更改这些参数。共有三种不同类型的唯一标识符:- IMEI设备。
- 设备ID(未研究)。
- WiFi的MAC地址。
因此,我在上面撰写的有关IMEI转移和选择的内容只是为了简化而简化。这实际上是三个标识符之一。您的ID取决于您拥有的SDK版本。简而言之,是否有可能获得一种或另一种类型的唯一标识符。应用程序开发人员本身对它们感到困惑,无法以一种名称融合。我将代码放在文章中的唯一位置。if (Build.VERSION.SDK_INT >= 29) {
return getMac(context);
}
return getImei(context);
在getImei内部,这是一个if:if (Build.VERSION.SDK_INT >= 26) {
str = telephonyManager.getImei();
} else {
str = telephonyManager.getDeviceId();
}
该应用程序也可以获取SIM卡号,但仅在棘手的情况下。有机会-会的。使用文本ID生成QR码,它可以是三种类型。这个话题以及人脸识别服务已经被任何人争论过。我不专心。
该应用程序的一个有趣功能是在设备上向您推送通知。开发人员可以远程发送命令,它们将由您执行。其中一个团队称为OPEN_CAMERA。另一个-SERVER_ADDRESS_KEY-在这里很可能类似于Telegram。当它被阻止时,它将新的IP发送给所有用户地址,我们继续使用Messenger。此外,他们可以远程设置发送和收集遥测的间隔。这里关于可能的推送通知。当然,您仍然可以谈论化身,如何旋转化身,如何在本地保存化身,如何对其进行规范化。您可以谈论对应用程序进行自动更新的愿望,但是您没有时间,没有能力按号码转到拨号程序,维护联系人列表(最原始的通讯录是姓名和号码),有关他们与活动文件点数交互的事实。但这一切都很无聊。结论
你知道,我不会说他们有多糟糕,我不会说它们有多出色。每个人都会为自己做出结论。我向您概述的关键缺陷,漏洞和间谍活动。我只能说,尽管有最后期限,在任何情况下都不允许开发明显易受攻击的应用程序。我不得不注意到人民的凝聚力。每个人都开始分享他们的发现,保持积极主动,但谁做不到,请将1放入评论中。我尽可能地记录了4207个单位,并且(我认为)没有其他评级。在我的Telegram频道中,带有草稿的相同的妄想消息和原始结论在我的Telegram频道中,并且是个人资料中的链接。我要向您展示的最后一件事是,这是“非法” 从其代码获取MAC地址的功能,并且在stackoverflow上也是如此(感谢ntoskrnl):和往常一样,感谢您的阅读!附言:任何人都可能犯错,我也不例外。也许是错误的,也许不是很了解实现。现在他们会说在注册时记住IP,并且不可能对另一个人执行请求,对吗?我会回答这是胡说八道,然后所有者本人将在重新连接到移动网络时失去访问权限……一般来说,您知道这些评论是公开的!