Evan Connelly odkrył poważną podatność w aplikacji Verizon Call Filter, która dotyczy użytkowników urządzeń z systemem iOS. Mimo że problem ten bezpośrednio wpływa na klientów amerykańskiej sieci GSM, warto przyjrzeć się bliżej naturze tej luki, ponieważ podobne błędy, takie jak IDOR (Insecure Direct Object Reference), pojawiają się w różnych systemach.
Cel aplikacji Verizon Call Filter
Aplikacja Verizon Call Filter została stworzona z myślą o ułatwieniu użytkownikom blokowania podejrzanych połączeń przychodzących. Jej funkcje obejmują między innymi możliwość blokowania niechcianych rozmów oraz raportowania numerów jako uciążliwych. Co więcej, użytkownicy mogą również sprawdzać historię swoich ostatnich połączeń.
Mechanizm działania aplikacji
Aby skorzystać z możliwości aplikacji, użytkownik musi uwierzytelnić się za pomocą tokena JWT (JSON Web Token). W nagłówku tego tokena zawarty jest numer telefonu klienta, co stanowi kluczowy element w procesie identyfikacji użytkownika.
Problem z weryfikacją uprawnień
W zapytaniach do serwera, oprócz tokena JWT, występuje również nagłówek X-Ceq-MDN, który definiuje numer telefonu, dla którego ma zostać zwrócona historia połączeń. Okazało się jednak, że pole X-Ceq-MDN nie jest weryfikowane pod kątem uprawnień użytkownika, który przedstawił poprawny token JWT. To stwarzało możliwość, by dowolny zalogowany użytkownik Verizon Wireless mógł uzyskać dostęp do historii połączeń innego klienta.
Potencjalne konsekwencje
Brak odpowiedniej walidacji w przypadku nagłówka X-Ceq-MDN otworzył drzwi do zdobycia istotnych informacji o użytkownikach, w tym o tym, z kim się kontaktowali. Problem ten został zgłoszony przez badacza w lutym bieżącego roku, a operator sieci podjął działania, aby go naprawić. Potwierdzenie skuteczności łatki zrealizowano podczas ponownego testu przeprowadzonego przez Evana.
Wnioski płynące z incydentu
Błędy bezpieczeństwa, wynikające z nadmiernego zaufania do danych pochodzących od użytkowników, wciąż stanowią popularny wektor ataku. Niedostateczna weryfikacja uprawnień przy bezpośrednim dostępie do danych jest kolejnym istotnym problemem, który należy rozwiązać. W tej sytuacji kluczowa staje się edukacja deweloperów oraz szczególny nacisk na weryfikację wartości pochodzących z niezaufanych źródeł.
Dodatkowe informacje:
- Jak można było czytać listę połączeń klientów sieci Verizon: Apr 11, 2025 … Jak można było czytać listę połączeń klientów sieci Verizon · Fortinet zaleca aktualizację oprogramowania FortiSwitch – możliwa jest …
- Sekurak – Plakat o scamach w Internecie. Potrzebujesz wersji …: Jan 8, 2025 … Jak można było czytać listę połączeń klientów sieci Verizon. SEKURAK.PL. Jak można było czytać listę połączeń klientów sieci Verizon. Evan …
- websec – Sekurak: Bezpłatne Dni Otwarte Sekurak Academy! Hackowanie na żywo, szkolenia, ebooki, … Tag: websec. Jak można było czytać listę połączeń klientów sieci Verizon. 11 …
- Sekurak – Coś nie pyknęło. A początek był taki miły… | Facebook: Nov 20, 2019 … Jak można było czytać listę połączeń klientów sieci Verizon. SEKURAK.PL. Jak można było czytać listę połączeń klientów sieci Verizon. Evan …
- IDOR – Sekurak: Bezpłatne Dni Otwarte Sekurak Academy! Hackowanie na żywo, szkolenia, ebooki, … Tag: IDOR. Jak można było czytać listę połączeń klientów sieci Verizon. 11 …
- Sekurak (@Sekurak) / X: … ze względu na klasę podatności – IDOR, występującą często. Jak można było czytać listę połączeń klientów sieci Verizon · From sekurak.pl. 1. 16.