--- title: "Опасность авторизации через SMS на egov.kz" description: "Услышав новость о том, что egov.kz переходит на SMS авторизацию при запросе некоторых гос.услуг, я с..." author: "b4trjan" published: "2017-07-23T07:28:13+00:00" modified: "2018-03-09T10:10:40+00:00" locale: "ru" canonical_url: "https://yvision.kz/post/opasnost-avtorizacii-cherez-sms-na-egov-kz-773704" markdown_url: "https://yvision.kz/post/opasnost-avtorizacii-cherez-sms-na-egov-kz-773704/markdown" site_name: "Yvision.kz" --- # Опасность авторизации через SMS на egov.kz > Услышав новость о том, что egov.kz переходит на SMS авторизацию при запросе некоторых гос.услуг, я с... Услышав новость о том, что egov.kz переходит на SMS авторизацию при запросе некоторых гос.услуг, я сразу же подумал, что это шутка, ведь этот вид авторизации переоценен и на данный момент гиганты рынка - те, кто обычно задает моду в этой сфере, - начали отказываться от использования SMS. Ну, а что же наши? Ну, а наши как всегда... Итак, бага, о которой я хочу сегодня рассказать, кому-то может показаться и не багой вовсе, а как модно сейчас говорить, фичей, но лично я так не считаю. Для демонстрации баги нам понадобится burpsuite, droid-proxy, профиль на egov, а так же светлая голова и прямые руки. Суть баги в том что, во-первых, вся информация передается по HTTP (т.е. в открытом виде), во-вторых, в ответе на запрос для получения SMS мы получаем код самой SMS (и это наверное самое глупое, что я видел в своей жизни), плюс в запросе так же передаются локальные IP адреса, что тоже не очень хорошо. Итак, у нас есть профиль на egov.kz и мы пытаемся выполнить авторизацию какой-либо услуги через SMS или же, как в моем случае, просим приложение сменить номер телефона в профиле, это также делается через отправку SMS для подтверждения своих действий. Смотрим Рис.1 ![Опасность авторизации через SMS на egov.kz](https://storage.yvision.kz/images/user/b4trjan/CFDD42hIZHZaj0E8WXsTM0P8sQoP5l.png) Рис.1 Далее нажимаем кнопку “продолжить” и пропускаем запрос через burpsuite, см. Рис.2 ![Опасность авторизации через SMS на egov.kz](https://storage.yvision.kz/images/user/b4trjan/H1VYExEggI9pY0sAqW522bZsqU7gQF.png) Рис.2 А теперь обратите внимание на этот ответ на запрос SMS: во-первых, мы видим внутренние IP адреса системы, во-вторых, и это самое главное, мы видим код SMS, который был отправлен на указанный номер телефона. см. Рис.3 ![Опасность авторизации через SMS на egov.kz](https://storage.yvision.kz/images/user/b4trjan/qeKcz3qF7pjOHdaqVBRfGRu7nWW3mS.png) Рис.3 Вот таким нехитрым способом злоумышленник, даже не зная вашего номера телефона и не имея к нему физического доступа, может производить запросы на получение гос.услуг от Вашего имени. Хочу сразу дать понять: я не утверждаю, что SMS - зло, напротив, я за любое упрощение жизни гражданам, но только в том случае, если это приносит больше пользы, чем вреда. И если Вы что-то собираетесь вводить, то будьте любезны все перепроверить и убедиться в том, что Ваш продукт работает как надо и не имеет никаких багов или так называемых фич. P.S. Данная бага была исправлена еще в прошлом году и о ней было рассказано на конференции посвященной практической информационной безопасности Kaz'hack'stan НО недавно я перепроверил и что вы думаете? )) они видимо сделали downgrade и бага вернулась. ![Опасность авторизации через SMS на egov.kz](https://storage.yvision.kz/images/user/253286/a883d11b3011f80cb3d2e9fdaeb769.png) --- Source: [https://yvision.kz/post/opasnost-avtorizacii-cherez-sms-na-egov-kz-773704](https://yvision.kz/post/opasnost-avtorizacii-cherez-sms-na-egov-kz-773704)