Друзья, сегодня будет не инструкция, а скорее предупреждение для всех тех, у кого установлено официальное приложение «Мой МТС». Более недели назад, нами был обнаружен опасный баг, позволяющий получить полный доступ к чужому аккаунту, включая детализацию ваших звонков и смс с помощью Wi-Fi.
Естественно, мы написали разработчикам и сообщили об этом. Через пару дней пришел ответ:
Здравствуйте. В настоящее время происходит обновление программного обеспечения нашей базы данных. Неисправность была устранена. Приносим извинения за доставленные неудобства.
С уважением,
Команда поддержки мобильных приложений
ПАО «МТС».
Проверив еще раз мы поняли, что баг не устранен и по прежнему действует, а значит данные большого числа пользователей находятся под угрозой. Чтобы не быть голословными, мы приводим алгоритм, которой позволит все проверить. Для этого нужно два смартфона (условно назовем их «Устройство 1 и 2″) c Android, на которых установлены приложения «Мой МТС» из Play Market:
- на устройстве 1 выполнен вход в аккаунт МТС и включен мобильный интернет
- на устройстве 2 вход не выполнен, мобильный интернет отключен
Подготовка окончена. Теперь о самом баге:
- Включаем точку доступа Wi-Fi на устройстве 1
- Подключаемся к этой точке с помощью устройства 2
- Запускаем приложение «Мой МТС» на устройстве 2 и нажимаем «Войти»
- В появившемся окне мы видим номер телефона устройства 1. Уже интересно, не так ли?
- Подтверждаем вход и попадаем в аккаунт устройства 1 без пароля. Вуаля, теперь вы имеете полный доступ к информации устройства 1, в том числе можете заказать детализацию вызовов и прочее.
Сейчас, многие подумают, что для всего этого нужно знать пароль от точки доступа. Да действительно. Но факт остается фактом.
В качестве мер защиты, на устройство 1 придет смс с предупреждением о том, что выполнен вход в его аккаунт. Так же, в нем будет содержаться специальная комбинация цифр, которую рекомендуют набрать, если этот вход выполняли не вы.
Возможно теперь, меры по устранению этого бага будут наконец приняты. А пока, установите более сложный пароль для своей точки доступа и следите за смс, если она включена.
Офигеть. Реально так можно… некому теперь не дам вайфай
Так вай фай же может быть без пароля или простой пароль? И теперь можно мои звонки смотреть???
До устранения бага рекомендуем установить более сложный пароль и раздавать Wi-Fi только проверенным людям. Или вообще, на время, удалить приложение
К сожалению это работает. Я не понимаю, как мтс пропустила эту ошибку
Сегодня у меня 21.10.18г. при раздаче вайфая подключили интернет услугу за 500р без моего ведома.
Значит баг остался и им пользуются.