La siguienta entrada busca hacer una divulgación responsable sobre la vulnerabilidad que tiene el servicio para envió de mensajes de texto vía web de Movistar Colombia, Movistar Ecuador y Comcel el proceso que estoy siguiendo para la solución de esta vulnerabilidad es la RFPolicy y según esta las 2 empresas fueron notificadas y al no responder adecuadamente se procedió a hacer la divulgación publica que se vera a continuación:
A través de su pagina de Internet Movistar Colombia permite que una persona cualquiera envié un mensaje de texto que sera cobrado a quien lo reciba, esto de por si es un fallo por que permite que una persona malintencionada malgaste el dinero de otra, aunque las cosas se hacen peores cuando se analiza el método que utilizan para reconocer que el usuario de la pagina es un ser humano, el captcha que usan es demasiado sencillo y al verlo me di cuenta que fácilmente se podría hacer un programa que lo convirtiera a números y así conseguir enviar mensajes de texto de forma masiva que serian cobrados a quien le lleguen y para comprobar esto hice un poc
Movistar ecuador tiene el mismo problema en su sitio web que la seccional colombiana con la diferencia que ni siquiera usan una imagen como "captcha" sino una seria de 4 números en texto plano.
Comcel tiene exactamente el mismo problema pero ellos ni siquiera usan captcha.
Los casos de Movistar ecuador y Comcel son tan sencillos que no considere pertinente desarrollar un poc para ellos, pero fácilmente se podría conseguir uno con editar el que envió para Movistar Colombia
---
La ciencia humana consiste más en destruir errores que en descubrir verdades.
Sócrates (470 AC-399 AC) Filósofo griego.
Actualizacion:
Me acabo de enterar que esta vulnerabilidad, también fue descubierta por LowNoise a comienzos del 2007, su advisory puede verse aquí
Suscribirse a:
Comentarios de la entrada (Atom)
Entradas
9 comentarios:
Interesante este articulo...Quiero saber si Tigo lo usan...
He...Muy chevere tu blog...Espero que me visites el mio... es http://free-colombia.blogspot.com/
Tiene sus años y siguen haciendose los que no saben. Hace años fue divertido enviar un poco de spam a través de los SMS jeje.
lasultimas palabras de tu entrada, mas de alguan ves em dije a mi mismo esa frase, no es cierto me la dijo una buena amiga, no se si te interesa leer, pero si te tinca te recomiendo que lees su blog
ironia-lietraria.blogspot.com
para ser mas especifico te recomiendo que leeas su primera entrada, es un relato,no teiene que ver con esto, pero , nose , por alguna razon creo que te gustaria
perdon habia escritomal la direccion es
ironia-literaria.blogspot.com
gracias por comentar en mi blog, me gustaria leer lo que tu escribes, pero ahora ando algo corta de tiempo asi que para otra ves sera, pero quiesiera aprovechar para preguntarte si me permites enlasarte a mi blog, a si podre llegar al tuyo con mas rapides,y asi leerte en otra ocacion
Que buena información. Si logra hacer lo de tigo seria genial saberlo.
Saludos
bueno por fin me e leido tu entrada, y pues mi individualismo solo me permite decirte una cosa, SI DESCUBRE ALGO ASI CON ALGUNA EMPERESA DE CHILE AVISAME xd
pd:si te interesa, actualise mi blog, date una bvulta por alla, por fa,que tu opinion me es util XD
Esooo kmilo, ahora lo consideran un heroe nacional, dejame tocarte, ja ja ja ja
(intrusa)
mmm... mr. davis al parecer es mr. sinzeta, esto debería tener un corrector de horrografía, y a quién se le ocurre comentar en un blog para decir que no lo ha leído?
Publicar un comentario