viernes, febrero 08, 2008

Vulnerabilidad envió de mensajes de texto por web en Movistar Colombia, Comcel y Movistar Ecuador

La siguienta entrada busca hacer una divulgación responsable sobre la vulnerabilidad que tiene el servicio para envió de mensajes de texto vía web de Movistar Colombia, Movistar Ecuador y Comcel el proceso que estoy siguiendo para la solución de esta vulnerabilidad es la RFPolicy y según esta las 2 empresas fueron notificadas y al no responder adecuadamente se procedió a hacer la divulgación publica que se vera a continuación:

A través de su pagina de Internet Movistar Colombia permite que una persona cualquiera envié un mensaje de texto que sera cobrado a quien lo reciba, esto de por si es un fallo por que permite que una persona malintencionada malgaste el dinero de otra, aunque las cosas se hacen peores cuando se analiza el método que utilizan para reconocer que el usuario de la pagina es un ser humano, el captcha que usan es demasiado sencillo y al verlo me di cuenta que fácilmente se podría hacer un programa que lo convirtiera a números y así conseguir enviar mensajes de texto de forma masiva que serian cobrados a quien le lleguen y para comprobar esto hice un poc

Movistar ecuador tiene el mismo problema en su sitio web que la seccional colombiana con la diferencia que ni siquiera usan una imagen como "captcha" sino una seria de 4 números en texto plano.

Comcel tiene exactamente el mismo problema pero ellos ni siquiera usan captcha.

Los casos de Movistar ecuador y Comcel son tan sencillos que no considere pertinente desarrollar un poc para ellos, pero fácilmente se podría conseguir uno con editar el que envió para Movistar Colombia

---
La ciencia humana consiste más en destruir errores que en descubrir verdades.
Sócrates (470 AC-399 AC) Filósofo griego.

Actualizacion:

Me acabo de enterar que esta vulnerabilidad, también fue descubierta por LowNoise a comienzos del 2007, su advisory puede verse aquí

9 comentarios:

AR-TECH dijo...

Interesante este articulo...Quiero saber si Tigo lo usan...
He...Muy chevere tu blog...Espero que me visites el mio... es http://free-colombia.blogspot.com/

Anónimo dijo...

Tiene sus años y siguen haciendose los que no saben. Hace años fue divertido enviar un poco de spam a través de los SMS jeje.

Anónimo dijo...

lasultimas palabras de tu entrada, mas de alguan ves em dije a mi mismo esa frase, no es cierto me la dijo una buena amiga, no se si te interesa leer, pero si te tinca te recomiendo que lees su blog

ironia-lietraria.blogspot.com

para ser mas especifico te recomiendo que leeas su primera entrada, es un relato,no teiene que ver con esto, pero , nose , por alguna razon creo que te gustaria

Anónimo dijo...

perdon habia escritomal la direccion es

ironia-literaria.blogspot.com

Ms. Davis dijo...

gracias por comentar en mi blog, me gustaria leer lo que tu escribes, pero ahora ando algo corta de tiempo asi que para otra ves sera, pero quiesiera aprovechar para preguntarte si me permites enlasarte a mi blog, a si podre llegar al tuyo con mas rapides,y asi leerte en otra ocacion

Anónimo dijo...

Que buena información. Si logra hacer lo de tigo seria genial saberlo.

Saludos

Ms. Davis dijo...

bueno por fin me e leido tu entrada, y pues mi individualismo solo me permite decirte una cosa, SI DESCUBRE ALGO ASI CON ALGUNA EMPERESA DE CHILE AVISAME xd

pd:si te interesa, actualise mi blog, date una bvulta por alla, por fa,que tu opinion me es util XD

Unknown dijo...

Esooo kmilo, ahora lo consideran un heroe nacional, dejame tocarte, ja ja ja ja

Anónimo dijo...

(intrusa)
mmm... mr. davis al parecer es mr. sinzeta, esto debería tener un corrector de horrografía, y a quién se le ocurre comentar en un blog para decir que no lo ha leído?