19 декабря я нашла уязвимость в СДЭК, позволяющую выгрузить всю базу отправлений с адресами, телефонами и ФИО отправителей/получателей.
На днях её исправили, ура, хотя работы там было на пару человекочасов. Только исправление сломало сервис отслеживания посылок. Теперь в большинстве случаев мобильное приложение выдаст ошибку "К сожалению, мы не можем найти номер накладной". Может и в 100% случаев, не знаю, у меня ни один заказ не удалось проверить.
Рассказать, в чём заключалась уязвимость? В принципе, всё просто.
А пока можете посмотреть на прекрасную форму отписки от их рассылок. ЭТО GOOGLE ФОРМА!
На днях её исправили, ура, хотя работы там было на пару человекочасов. Только исправление сломало сервис отслеживания посылок. Теперь в большинстве случаев мобильное приложение выдаст ошибку "К сожалению, мы не можем найти номер накладной". Может и в 100% случаев, не знаю, у меня ни один заказ не удалось проверить.
Рассказать, в чём заключалась уязвимость? В принципе, всё просто.
А пока можете посмотреть на прекрасную форму отписки от их рассылок. ЭТО GOOGLE ФОРМА!
Эй, МТС, я вообще-то бисексуальна.
https://agileday.mts.ru/
UPD: В 16:01:30 пофиксили, теперь 404.
UPD: В 16:05 там появился редирект на чей-то телеграм. Доколе, МТС?
В общем, редиректы теперь меняются каждые несколько минут.
https://agileday.mts.ru/
UPD: В 16:01:30 пофиксили, теперь 404.
UPD: В 16:05 там появился редирект на чей-то телеграм. Доколе, МТС?
В общем, редиректы теперь меняются каждые несколько минут.
У вас вообще с логикой всё в порядке?
Если не уверены, проверьтесь у @TryLogicBot
Сделала вот для вас.
Если не уверены, проверьтесь у @TryLogicBot
Сделала вот для вас.
Помните этого грязного и потрёпанного стариной товарища?
Теперь он:
1. Чист и опрятен, будто ему вовсе не 35 лет.
2. Имеет красивый белый провод.
3. Сзади у него USB-вход для питания, а внутре у ней^W^W^W внутри у него Pi Zero W.
4. Умеет принимать и совершать звонки (как и 35 лет назад!). Только для этого ему нужен Wi-Fi. Зато может в DTMF!
5. Гордится красивым городским номером, который вам я не покажу.
6. Может инициировать исходящий звонок путём отправки вызываемого номера специальному Telegram-боту. Ведь набирать номера из 10-цифр с помощью диска есть смысл только для выпендрёжа перед друзьями...
7. Благодаря ШИМ, усилителю и динамику достойно сымитирует механическое дзз-дзз, когда кто-то звонит.
8. А если позвонят в Telegram, воспроизведёт стандартный рингтон Telegram.
9. Ах да, поддерживает Telegram-звонки! В обе стороны.
10. Интегрируется с умным домом! Набор цифр при уложенной трубке — выполнение специальных команд, таких как открытие домофона. Уведомляет Google-девушкой о прибытии домочадцев в обитель.
11. Ну да, умеет красиво восьмибитно пиликать, когда кто-то звонит в домофон.
Конечно, это лишь часть списка, да и функциональность модульно дополняется в несколько тыков клавиатуры, поэтому когда-нибудь (ТМ) я расскажу об этом подробнее и даже запишу видео.
А пока полюбуйтесь, какой он теперь няша.
Теперь он:
1. Чист и опрятен, будто ему вовсе не 35 лет.
2. Имеет красивый белый провод.
3. Сзади у него USB-вход для питания, а внутре у ней^W^W^W внутри у него Pi Zero W.
4. Умеет принимать и совершать звонки (как и 35 лет назад!). Только для этого ему нужен Wi-Fi. Зато может в DTMF!
5. Гордится красивым городским номером, который вам я не покажу.
6. Может инициировать исходящий звонок путём отправки вызываемого номера специальному Telegram-боту. Ведь набирать номера из 10-цифр с помощью диска есть смысл только для выпендрёжа перед друзьями...
7. Благодаря ШИМ, усилителю и динамику достойно сымитирует механическое дзз-дзз, когда кто-то звонит.
8. А если позвонят в Telegram, воспроизведёт стандартный рингтон Telegram.
9. Ах да, поддерживает Telegram-звонки! В обе стороны.
10. Интегрируется с умным домом! Набор цифр при уложенной трубке — выполнение специальных команд, таких как открытие домофона. Уведомляет Google-девушкой о прибытии домочадцев в обитель.
11. Ну да, умеет красиво восьмибитно пиликать, когда кто-то звонит в домофон.
Конечно, это лишь часть списка, да и функциональность модульно дополняется в несколько тыков клавиатуры, поэтому когда-нибудь (ТМ) я расскажу об этом подробнее и даже запишу видео.
А пока полюбуйтесь, какой он теперь няша.
Меня заставили создать канал
У вас вообще с логикой всё в порядке? Если не уверены, проверьтесь у @TryLogicBot Сделала вот для вас.
Ребята, мне многие из вас писали претензии по поводу третьего вопроса, который про "запырку".
Я всем отвечала, что согласна, мол и правда обстоятельства недостаточно точно описаны, чтобы однозначно выбрать верное следствие. Всем обещала, что исправлю.
Сейчас полезла исправлять, перечитала вопрос и варианты ответов, а там, оказывается, всё в порядке. Тренируйте логику сами и меня не запутывайте!
Я всем отвечала, что согласна, мол и правда обстоятельства недостаточно точно описаны, чтобы однозначно выбрать верное следствие. Всем обещала, что исправлю.
Сейчас полезла исправлять, перечитала вопрос и варианты ответов, а там, оказывается, всё в порядке. Тренируйте логику сами и меня не запутывайте!
Обернулась назад и осознала, что время стало слишком быстро идти, старею.
При этом временные промежутки воспринимаются так же значимо, как и в детстве.
Сегодня, например, ровно год, как я переехала из Москвы в Санкт-Петербург.
Это было будто вчера, но год — это для меня всё ещё очень много.
Понимаю, что к концу этого года мне исполнится 23, какие-то уже сумасшедшие числа!
Я же школу совсем недавно закончила! (5 лет назад ШТОАОАООА скооллькааа???)
При этом временные промежутки воспринимаются так же значимо, как и в детстве.
Сегодня, например, ровно год, как я переехала из Москвы в Санкт-Петербург.
Это было будто вчера, но год — это для меня всё ещё очень много.
Понимаю, что к концу этого года мне исполнится 23, какие-то уже сумасшедшие числа!
Я же школу совсем недавно закончила! (5 лет назад ШТОАОАООА скооллькааа???)
Лёгким движением клёвого сервиса аватарка канала превращается... превращается... в ЭМОДЗИ!
Вам нравится Telegram? Ну или любой другой зарубежный интернет-ресурс?
Тогда нам нужно предотвратить наступление Чебурнета и отвоевать своё право на доступ к всемирной паутине. Вы ещё не привыкли, что даже самые базовые права в России приходится отвоёвывать?
Если вы с нами, отметьтесь здесь: https://www.change.org/p/государственная-дума-рф-против-принятия-закона-об-изоляции-российского-интернета
Конечно, петиция не повлияет на ситуацию, но это способ оценить количество сторонников свободы и собрать всех воедино для дальнейших коммуникаций.
P.S. Это не моя петиция
Тогда нам нужно предотвратить наступление Чебурнета и отвоевать своё право на доступ к всемирной паутине. Вы ещё не привыкли, что даже самые базовые права в России приходится отвоёвывать?
Если вы с нами, отметьтесь здесь: https://www.change.org/p/государственная-дума-рф-против-принятия-закона-об-изоляции-российского-интернета
Конечно, петиция не повлияет на ситуацию, но это способ оценить количество сторонников свободы и собрать всех воедино для дальнейших коммуникаций.
P.S. Это не моя петиция
Меня заставили создать канал
Вам нравится Telegram? Ну или любой другой зарубежный интернет-ресурс? Тогда нам нужно предотвратить наступление Чебурнета и отвоевать своё право на доступ к всемирной паутине. Вы ещё не привыкли, что даже самые базовые права в России приходится отвоёвывать?…
Если вы и активность какую-то проявить надумаете, можете ещё сходить вот таким путём: https://www.facebook.com/Ekaterina.Schulmann/posts/10218645349515874
Facebook
Екатерина Шульман
По следам наших выступлений: теперь у нас каждый выпуск сопровождается практическим заданием и домашней работой. Вот законопроект "воображаемый интернет сенатора Клишаса":...
Меня заставили создать канал
Вам нравится Telegram? Ну или любой другой зарубежный интернет-ресурс? Тогда нам нужно предотвратить наступление Чебурнета и отвоевать своё право на доступ к всемирной паутине. Вы ещё не привыкли, что даже самые базовые права в России приходится отвоёвывать?…
Пожалуйста, перед тем как писать в ЛС по поводу этого поста, прочитайте выделенную жирным шрифтом часть.
Про взломанные электросамокаты
Ребятушки, не первый и не второй раз мне присылают шокирующую новость про удалённое управление самокатами Xiaomi M365.
Шокирующая она только для широкой публики, однако эта информация была давно известна тем, кто интересуется углублённо. Например, нашим соотечественникам, которые делали кастомные прошивки для обоих самокатов, Xiaomi M365 и Ninebot ES1/2/4.
Я не вчитывалась, что там пишут, но имейте в виду, если Xiaomi отыгрывают удивление и обещают всё исправить — это чушь. Эти уязвимости — особенности протокола, в котором изначально не заложена хотя бы какая-то авторизация.
Да, самокаты можно запаролить, но знаете, как проверяется авторизация? Приложение шлёт запрос самокату "эй, вот этот пароль правильный?" и получает ответ "да, всё ок" или "нет, он неправильный". Если получает первый ответ, приложение рисует вам интерфейс управления самокатом, а если второй, выводит ошибку. Только вот никакая сессия не устанавливается, а все дальнейшие запросы выполняются без паролей и ключей. Это просто проверка на фронтенде. Вы можете вырезать её из приложения и делать с самокатом что угодно. Это я выяснила, когда интегрировала статус самоката в систему умного дома.
Поверьте, такие уязвимости не допускаются случайно, это просто изначальное нежелание нормально продумывать протокол. Подобная ситуация была, когда я реверсила протокол чайника Xiaomi. Я не помню, писала ли об этом публично, поэтому на всякий случай повторюсь. Процедура привязки, которую вы видите в приложении Mi Home, где нужно нажать кнопку на чайнике для завершения регистрации — такая же фикция, как и пароль на самокате. На самом деле приложение завершает регистрацию ещё до того, как просит вас нажать кнопку. А если вы её не нажмёте, регистрация просто сбрасывается. Если почитаете мой разбор протокола, вы поймёте, что можете управлять соседскими чайниками, даже не имея физического доступа в квартиру.
Чего уж говорить про весы Xiaomi Mi Smart Scale, про датчики для цветов Mi Flora и многие другие "лайтовые" устройства. Там и вовсе никакой обфускации нет, ничего реверсить не нужно. Подключаетесь и читаете последний измеренный вес своей подружки.
Пожалуйста, не надо ждать от дешёвых китайцев прорывных технологий вроде проверки сессии, чтобы потом не было неприятных удивлений. Боитесь за воду в чайнике, приватность своих килограммов, сохранность ваших косточек при поездках на самокате? Не используйте Bluetooth устройства от Xiaomi. Единственное из подопытных устройств, запросившее реальное подтверждение при регистрации — Mi Band.
Ребятушки, не первый и не второй раз мне присылают шокирующую новость про удалённое управление самокатами Xiaomi M365.
Шокирующая она только для широкой публики, однако эта информация была давно известна тем, кто интересуется углублённо. Например, нашим соотечественникам, которые делали кастомные прошивки для обоих самокатов, Xiaomi M365 и Ninebot ES1/2/4.
Я не вчитывалась, что там пишут, но имейте в виду, если Xiaomi отыгрывают удивление и обещают всё исправить — это чушь. Эти уязвимости — особенности протокола, в котором изначально не заложена хотя бы какая-то авторизация.
Да, самокаты можно запаролить, но знаете, как проверяется авторизация? Приложение шлёт запрос самокату "эй, вот этот пароль правильный?" и получает ответ "да, всё ок" или "нет, он неправильный". Если получает первый ответ, приложение рисует вам интерфейс управления самокатом, а если второй, выводит ошибку. Только вот никакая сессия не устанавливается, а все дальнейшие запросы выполняются без паролей и ключей. Это просто проверка на фронтенде. Вы можете вырезать её из приложения и делать с самокатом что угодно. Это я выяснила, когда интегрировала статус самоката в систему умного дома.
Поверьте, такие уязвимости не допускаются случайно, это просто изначальное нежелание нормально продумывать протокол. Подобная ситуация была, когда я реверсила протокол чайника Xiaomi. Я не помню, писала ли об этом публично, поэтому на всякий случай повторюсь. Процедура привязки, которую вы видите в приложении Mi Home, где нужно нажать кнопку на чайнике для завершения регистрации — такая же фикция, как и пароль на самокате. На самом деле приложение завершает регистрацию ещё до того, как просит вас нажать кнопку. А если вы её не нажмёте, регистрация просто сбрасывается. Если почитаете мой разбор протокола, вы поймёте, что можете управлять соседскими чайниками, даже не имея физического доступа в квартиру.
Чего уж говорить про весы Xiaomi Mi Smart Scale, про датчики для цветов Mi Flora и многие другие "лайтовые" устройства. Там и вовсе никакой обфускации нет, ничего реверсить не нужно. Подключаетесь и читаете последний измеренный вес своей подружки.
Пожалуйста, не надо ждать от дешёвых китайцев прорывных технологий вроде проверки сессии, чтобы потом не было неприятных удивлений. Боитесь за воду в чайнике, приватность своих килограммов, сохранность ваших косточек при поездках на самокате? Не используйте Bluetooth устройства от Xiaomi. Единственное из подопытных устройств, запросившее реальное подтверждение при регистрации — Mi Band.
🔥4
Меня заставили создать канал
Про взломанные электросамокаты Ребятушки, не первый и не второй раз мне присылают шокирующую новость про удалённое управление самокатами Xiaomi M365. Шокирующая она только для широкой публики, однако эта информация была давно известна тем, кто интересуется…
Ах да, про чайник. Мало того, что там никакое подтверждение на самом деле не нужно, вы можете управлять соседским чайником из подъезда без его разрешения, так ещё и предыдущая регистрация сбросится. У соседа чайник пропадёт из приложения Mi Home. Если будете сидеть в подъезде и регистрироваться раз в 5 секунд в цикле, сосед даже не сможет вернуть контроль над устройством.
Меня заставили создать канал
Про взломанные электросамокаты Ребятушки, не первый и не второй раз мне присылают шокирующую новость про удалённое управление самокатами Xiaomi M365. Шокирующая она только для широкой публики, однако эта информация была давно известна тем, кто интересуется…
По поводу остальных умных устройств от Xiaomi. Устройства с Wi-Fi можете вполне спокойно использовать, если проследуете рекомендациям:
1) Не привязывать устройство в китайское облако, а использовать только локально. С помощью систем Home Assistant/Homebridge/Athom Homey или аналогичных.
2) Самим устройствам запретить выход в интернет с помощью файрволла роутера.
1) Не привязывать устройство в китайское облако, а использовать только локально. С помощью систем Home Assistant/Homebridge/Athom Homey или аналогичных.
2) Самим устройствам запретить выход в интернет с помощью файрволла роутера.
👍1
О, товарищ поделился своей историей и напомнил мне об одной забавной. Когда я ещё жила в Москве, я активно использовала саундбар от Samsung, это такая длинная палка-колонка с объёмным звуком и отдельным сабвуфером.
У саундбара этого есть множество способов подключить источник звука, как проводные, так и беспроводные. Среди беспроводных есть так называемый "TV", предназначенный для использования с телевизорами Samsung.
Я не знаю, работает ли это поверх Bluetooth или это просто какой-то радиоканал, но когда я случайно включала этот способ, саундбар автоматически подключался к какому-то соседскому телевизору и начинал орать с него музыку/кино. Думаю, у соседа на телевизоре при этом звук пропадал, поэтому плохо было всем сразу.
А зачем вообще какие-то подтверждения и запросы? Пфф.
У саундбара этого есть множество способов подключить источник звука, как проводные, так и беспроводные. Среди беспроводных есть так называемый "TV", предназначенный для использования с телевизорами Samsung.
Я не знаю, работает ли это поверх Bluetooth или это просто какой-то радиоканал, но когда я случайно включала этот способ, саундбар автоматически подключался к какому-то соседскому телевизору и начинал орать с него музыку/кино. Думаю, у соседа на телевизоре при этом звук пропадал, поэтому плохо было всем сразу.
А зачем вообще какие-то подтверждения и запросы? Пфф.
👍2
Меня заставили создать канал
О, товарищ поделился своей историей и напомнил мне об одной забавной. Когда я ещё жила в Москве, я активно использовала саундбар от Samsung, это такая длинная палка-колонка с объёмным звуком и отдельным сабвуфером. У саундбара этого есть множество способов…
Знаете, я вот не уверена... Вполне возможно, у соседа на телевизоре вылезал какой-нибудь запрос и он его по глупости подтверждал. В таком случае просто забавная история, не уязвимость. Я ведь даже не знаю, кто это и из какой квартиры. Но очень сомневаюсь, звук начинал идти сразу после выбора TV в качестве input.
Как мило! У подруги украли телефон, а через несколько дней приходят такие сообщения. Конечно, никакая это не поддержка Apple, а по ссылке расположена фишинговая форма, с помощью которой скупщики хотели выудить данные iCloud, чтобы разблокировать телефон и иметь возможность продать его за 45 тысяч, а не вычленять дисплей и отдавать за 5-10. Да, именно скупщики. Сам вор, конечно, не так умён, телефон давно продал за копейки этим самым мошенникам и спокойно спит.