Опасность авторизации через SMS на egov.kz
Услышав новость о том, что egov.kz переходит на SMS авторизацию при запросе некоторых гос.услуг, я сразу же подумал, что это шутка, ведь этот вид авторизации переоценен и на данный момент гиганты рынка - те, кто обычно задает моду в этой сфере, - начали отказываться от использования SMS. Ну, а что же наши? Ну, а наши как всегда...
Итак, бага, о которой я хочу сегодня рассказать, кому-то может показаться и не багой вовсе, а как модно сейчас говорить, фичей, но лично я так не считаю.
Для демонстрации баги нам понадобится burpsuite, droid-proxy, профиль на egov, а так же светлая голова и прямые руки.
Суть баги в том что, во-первых, вся информация передается по HTTP (т.е. в открытом виде), во-вторых, в ответе на запрос для получения SMS мы получаем код самой SMS (и это наверное самое глупое, что я видел в своей жизни), плюс в запросе так же передаются локальные IP адреса, что тоже не очень хорошо.
Итак, у нас есть профиль на egov.kz и мы пытаемся выполнить авторизацию какой-либо услуги через SMS или же, как в моем случае, просим приложение сменить номер телефона в профиле, это также делается через отправку SMS для подтверждения своих действий. Смотрим Рис.1
Рис.1
Далее нажимаем кнопку “продолжить” и пропускаем запрос через burpsuite, см. Рис.2
Рис.2
А теперь обратите внимание на этот ответ на запрос SMS: во-первых, мы видим внутренние IP адреса системы, во-вторых, и это самое главное, мы видим код SMS, который был отправлен на указанный номер телефона. см. Рис.3
Рис.3
Вот таким нехитрым способом злоумышленник, даже не зная вашего номера телефона и не имея к нему физического доступа, может производить запросы на получение гос.услуг от Вашего имени.
Хочу сразу дать понять: я не утверждаю, что SMS - зло, напротив, я за любое упрощение жизни гражданам, но только в том случае, если это приносит больше пользы, чем вреда. И если Вы что-то собираетесь вводить, то будьте любезны все перепроверить и убедиться в том, что Ваш продукт работает как надо и не имеет никаких багов или так называемых фич.
P.S. Данная бага была исправлена еще в прошлом году и о ней было рассказано на конференции посвященной практической информационной безопасности Kaz'hack'stan НО недавно я перепроверил и что вы думаете? )) они видимо сделали downgrade и бага вернулась.
