Ocalił ich przed ogromnymi rachunkami za telefon – w zamian dostał symboliczną nagrodę

Znacie zapewne usługi internetowe, w których użytkownikweryfikowany jest poprzez połączenie telefoniczne? Po drugiejstronie znajduje się oczywiście automat z obsługą dialtonów (acoraz częściej z systemem rozpoznawania mowy), któremu musimypodać przekazany nam drogą e-mailową kod z liter i cyfr. Bardzociekawą (i w sumie zabawną) podatność w tego typu usługachodkrył Arne Swinnen, informatyk z Belgii zajmujący się zawodowobezpieczeństwem IT.

Swinnen wpadł na zaskakującypomysł. A co, gdyby internetowej usłudze zamiast swojego numerutelefonu ktoś podał numer telefonu premium? Niektóre seks-telefonypotrafią przecież kosztować majątek. Czy usługa poprawnierozpozna numer jako niewłaściwy i odmówi dzwonienia?

Okazuje się, że słabo to wyglądało w praktyce. Instagrampozwala np. na połączenie numeru telefonu z kontem; na numerkomórkowy wysyłany SMS-em jest sześciocyfrowy kod weryfikujący.Jeśli jednak na SMS-a użytkownik nie odpowie w ciągu trzech minut,to serwis zadzwoni do niego z Kalifornii. Połączenie trwakilkanaście sekund. A gdyby to wszystko zautomatyzować?

W tym celu badacz wykorzystał narzędzie Burp, pozwalająceręcznie modyfikować żądania HTTP i analizować odpowiedzi na nie(oraz oczywiście skryptować te procesy). Założył sobie własnynumer premium poprzez usługę eurocall24.com, zmodyfikował żądaniewysyłane na serwer Instagrama, podając zamiast numeru komórkowegoswój numer premium i uruchomił automat. Okazało się, że bezproblemu był w stanie wykonać pod rząd 60 połączeń, z30-sekundową przerwą między nimi. Swoim atakiem wykradłInstagramowi nieco ponad funta.

Zaangażowany napastnik mógłby w ten sposób nabić rachunek na1440 funtów miesięcznie – korzystając z tylko jednegoinstagramowego konta. To się jednak wydawało skalować bezograniczeń – przy stu kontach można już by było wykraść 144tysiące funtów miesięcznie. Jedyne bowiem, co ograniczało liczbępołączeń, był limit 30 sekund przerwy między nimi.

Arne Swinnen złodziejem nie był i we wrześniu 2015 roku owszystkim powiadomił Facebooka (właściciela Instagrama).Początkowo pewni siebie ludzie Zuckerberga odpowiedzieli, że oni otym wiedzą, że to zamierzona funkcjonalność i mają mechanizmymonitorujące nadużycia. Potem, gdy Swinnen przedstawił immożliwość wywoływania połączeń dla stu kont, trochę zmiękli,zaczęli jednak opowiadać coś o „akceptowalnym ryzyku” ikonieczności stosowania technik social engineeringu dla wyłudzeniatychże stu kont. Dopiero gdy badacz przypomniał im, że te sto kontmożna sobie ręcznie założyć, przyznali, że coś jest na rzeczy.Uznano, że odkryta luka jest poważna i objęta programem nagród.Lukę załatano 6 stycznia, a 9 stycznia wypłacono nagrodę, całe 2tysiące dolarów (pomnożone potem przez Facebooka dwukrotnie, jakoże badacz wpłacił pieniądze na konto fundacji non-profit).Zdobytego 1 funta Arne Swinnen sobie zostawił.

Nie mniej ciekawy okazał się test na usługach Google’a. Tutajbyło nieco trudniej, trzeba było sobie skonfigurowaćprzekierowania na serwer SIP, ponieważ Google po kilku próbachblokowało głuche telefony, ale i w tym wypadku proces udało sięzautomatyzować. Dopuszczalne było do 10 połączeń na godzinę, po18 połączeniach na numer w Estonii, badacz zarobił na google’owymautomacie nieco ponad 1 euro. W teorii efektywność ataku wynosiła12 euro dziennie, 360 euro miesięcznie. Niewiele, ale skalując odwa rzędy wielkości byłoby już 36 tys. euro miesięcznie.Wystarczyło utrzymywać sto kont Google i sto numerów premium.

Google choć przyjęło zgłoszenie o luce, odmówiło wypłatyjakiejkolwiek nagrody. Firma z Mountain View stwierdziła, żepraktycznie nie ma to wpływu na bezpieczeństwo użytkowników, atylko to się liczy. Straty finansowe dla firmy to betka.

Najciekawiej jednak wyszło exploitowanie Microsoftu, który miałjakieś tam zabezpieczenia przed nadużyciami – siedem nieudanychprób rejestracji blokowało numer premium. Okazało się jednak, żewystarczy poprzedzić numer zerem, a system znów go przyjmie. W tensposób można było dodawać kolejno nawet 18 zer i zastępowaćdowolną parę zer kodem kierunkowym. Co więcej, okazało się, żesystem akceptował też numery, do których dodawano losowomaksymalnie nawet cztery cyfry.

Dzięki tym kombinacjom zabezpieczenie Microsoftu kompletniestraciło na wartości – na jeden numer premium można byłowykonać ponad 13,37 mln połączeń, pozwalając w teorii zarobićnawet na niego 669 euro na minutę. Co więcej, Microsoft dopuściłjednoczesne połączenia na ten sam numer – więc przyuruchomieniu naraz np. dwudziestu połączeń, ktoś w Redmondmusiałby się nieźle zdziwić wysokością rachunku za połączeniaz automatu Office 365.

Tymczasem po zgłoszeniu problemu w lutym tego roku, w czerwcufirma wypłaciła Swinnenowi całe 500 dolarów. Przyznano co prawda,że była to podatność, i to całkiem niezła, ale nie zagrażaładanym użytkowników, a straty poniósłby nie Microsoft, leczzewnętrzna firma, która dla Microsoftu świadczy te usługi. Jakoże zaś program wynagrodzeń dla whitehatów skupia się na ochroniedanych użytkowników – no cóż, jakaś to nagroda jest.

Co dodać? Można powiedzieć, że patrząc na wartości tychnagród wypłacanych badaczom przez wielkie korporacje, zupełnie niedziwi, że tak wiele exploitów sprzedawanych jest na czarnym rynkuza znacznie lepsze pieniądze.