Комментарии 102
То есть, в идеале, любой человек может спокойно собирать базу всех пассажиров метро, у кого какой номер (и марка) телефона, пол, семейное положение, род занятий, где живёт, где работает, в какую возрастную группу входит и так далее. Замечательно!
Займет это довольно таки мучительно долго, но в принципе легко распараллелить нагрузку на несколько usb-wifi карт, одной собирая маки и другими их проверяя. Если бы я нашел всё же способ представится под любым маком, то статья бы уже назвывалась "«Watch Dogs: Москва», или приложение для самых быстрых знакомств". Ну и был бы не скрипт, а полноценное Android-приложение.
Ну так их можно брутфорсом генерировать. Там ведь кусок мака это код производителя. Можно прикинуть сколько их там будет… Ну штук 20 для начала. А остальные биты перебирать.
Прямо вот так:
Это можно делать с любого рутованного телефона, не вынимая из кармана. Только powerbank подключить желательно :)
Прямо вот так:
1. Поставил новый сгенерированный мак
2. Подключился к сети
3. Стянул JSON
4. Записал в мини-базу типа sqlite, например
5. goto 1Это можно делать с любого рутованного телефона, не вынимая из кармана. Только powerbank подключить желательно :)
Есть одим маленький нюанс у брутфорса — в лучшем случае слив информации (переключение/запрос) занимает полсекунды. Всего вариантов 2^8^6 на одного вендора, ну и соответственно 2^8^5 секунд на перебор. когда я вбил эти цифры в калькулятор он выдал мне улыбающуюся рожицу
Не успел добавить в предыдущий коммент
Короче говоря, лучшим вариантом будет скорее сидение на пересадках рода библиотеки, и соберать там действительно релевантные маки.
У меня получилось 2^24 = 194 дня (на одного вендора) если за секунду подключиться и слить JSON.
Мак ведь 6 байт занимает, 3 байта код вендора, а три байта код устройства.
Распараллелить скачивание JSON'ов и проблема решена.
Плюс, конечно, можно и маки собирать, чтобы ускорить их «проверку».
Мак ведь 6 байт занимает, 3 байта код вендора, а три байта код устройства.
Распараллелить скачивание JSON'ов и проблема решена.
Плюс, конечно, можно и маки собирать, чтобы ускорить их «проверку».
Вы забываете о том, что телефоны от надкусанного яблока при каждом подключении к сети меняют свой мак, код вендора тот же, а оставшаяся часть меняется. Вроде как самсунги тоже на такое перешли, не знаю точно. Таким образом, при снифе данных может получиться хорошая такая каша из большого количества маков на одного человека, или несколько человек на одном маке, или всё вместе.
Не знал об этом. А есть спецификации, где это поведение описано?
Не сталкивался с таким. Может это на совсем «последних» яблоках? Пятерка и iPad Pro с одним и тем же всегда подключаются.
Как минимум, с iOs 8, новость была ещё в 14м году. geektimes.ru/post/243599
Меняют не при подключении, а при сканировании и только для неизвестных сетей. Когда автоматом подключаются к известной — показывают честный MAC. Можно на тот же MT_FREE их ловить, ведь нам как раз нужны те, кто им пользуется.
то есть им нельзя пользоваться если вайфай сеть пускает по маку?..
как то странновато…
как то странновато…
Я думаю логичным вариантом будет перебирать MAC адреса PCT Айфонов последних 3 поколений.
В условиях обслуживания MT_FREE наверняка же есть что-то про то, что вы разрешаете передавать свои персданные третьим лицам? Ну вот — просто эти третьи лица не обязательно рекламодатели, а могут быть хоть кто.
Круто, попробую посмотреть что-нибудь о себе.
Интересно, какая полнота у этой всей юзердаты и откуда конкретно она берётся. Ясно, что home_station и work_station довольно легко отклассифицировать просто по истории перемещений, а откуда берётся family_status или occupation, например?
НЛО прилетело и опубликовало эту надпись здесь
Товарищи #поибэ
А расскажите пожалуйста, что пытаются выцепить из трафика скрипт-киддисы с сетью MT_FREE_ в метро? Вроде всё важное в https давно. Или ssl stripping и т.д.?
А расскажите пожалуйста, что пытаются выцепить из трафика скрипт-киддисы с сетью MT_FREE_ в метро? Вроде всё важное в https давно. Или ssl stripping и т.д.?
Помимо рекламы, эта страничка отдает один интересный json, который содержит кучу интересной информации о текущем подключенном пользователе.
Есть идеи как этот json посмотреть с телефона? Вроде в хроме мобильном нет инструментов разработчика?
НЛО прилетело и опубликовало эту надпись здесь
Честно скажу, что su -c "ifconfig hw ether {один из интересных маков с premium: true}" после включения wi-fi модуля работает лучше практически любого решения, т.к особо нет вариантов защититься от смены мака.
Но таких интересных маков скорее всего нет на моей странице vk.
Честно скажу, что советовать пользоваться deprecated-утилитами плохо.
ip link set eth0 address 02:01:02:03:04:08Не знал, что он устарел – спасибо, исправлю скрипт!
Вы, видимо еще не устанавливали свежий debian 9 (который вышел еще в прошлом году). В его release notes было даже в явном виде указано, что ifconfig вообще теперь по-умолчанию выпилен из системы. По факту, статус deprecated ifconfig получил еще лет 5 назад, все это время людям говорили что надо с него уходить…
5.3.9. net-tools will be deprecated in favor of iproute2
The net-tools package is no longer part of new installations by default, since its priority has been lowered from important to optional. Users are instead advised to use the modern iproute2 toolset (which has been part of new installs for several releases already).
AdBlock+ на FF тоже решает проблему с рекламой. И пока без банов.
В последние пару недель с ним стали бороться — периодически на телефон прилетает дневной бан.
Значит у некрасивой нельзя. Ура!
Чтобы людям было чуточку интереснее, я добавлю сюда небольшой файл с мак-адресами. На нем вы можете проверить работу скрипта.
Из МаксимаТелеком уведомили в ЛС, что уязвимость устранена. Кто-нибудь в метро?
Злосчастный json на месте
Жаль, что за такой big bounty уведомление пришло в ЛС, а не на номер 900 и, минимум, с четырьмя нулями.
Подписку хоть подарили?..
То есть, красоток вы боитесь, а ст.ст. 137,272 УК РФ нет?
Сегодня пробовал в метро, вместо телефона теперь хеш:
"msisdn":"f5618b8ef6e2c7cde6f674da5e6d485329aa026607175a624b8aee7b9a0de97e"
Насколько можно судить, это SHA256.
Теперь телефоны красоток можно майнить
НЛО прилетело и опубликовало эту надпись здесь
Только что попробовал, 100К телефонов за 4 минуты, проц i5 2.67 GHz, загружено было только одно ядро на 13%. Можно легко сделать заранее небольшие таблицы хэш-телефон, и потом по ним искать. Или на впс где-нибудь рест-сервисом оформить. Размер данных на 100К записей — 7.7 Мб
Было бы удивительно, если бы не посолили :) проверил выше представленный хеш по маске 7(\d{10}) — нет результатов.
Не тот хэш смотрите.
Поле «uid» — md5(номер телефона).
Причем БЕЗ соли.
Соответственно загоняете в онлайн радужную таблицу, например — www.md5online.org
И вуаля телефон ваш, задача усложнилась на посещение одного сайта.
Проверил на нескольких юзерах и своем телефоне.
Поле «uid» — md5(номер телефона).
Причем БЕЗ соли.
Соответственно загоняете в онлайн радужную таблицу, например — www.md5online.org
И вуаля телефон ваш, задача усложнилась на посещение одного сайта.
Проверил на нескольких юзерах и своем телефоне.
У MaximaTelecom высококлассные спецы)
Напридумывают всякого, солить еще зачем-то
Напридумывают всякого, солить еще зачем-то
> «family_status»: «not married»
> «occupation»: «student»
Эм, я чего-то не понимаю, откуда у провайдера данные по семейному положению и роду занятий? Пользователь их вносит при авторизации наряду с ФИО или телефоном? Какой в этом смысл, ФЗ126 же требует только паспортные данные/телефон?
> «occupation»: «student»
Эм, я чего-то не понимаю, откуда у провайдера данные по семейному положению и роду занятий? Пользователь их вносит при авторизации наряду с ФИО или телефоном? Какой в этом смысл, ФЗ126 же требует только паспортные данные/телефон?
Смысл в персонализированной рекламе. Вопрос только зачем эта инфа шлется пользователю при подключении?
Могут и просто по косвенным признакам/статистике передвижений насобирать. Опять же, через социалки можно много чего о человеке узнать.
Если married то можно любую околопристойнойную рекламу показывать, а её у них навалом.
Хм, а от запроса скриптом с другого сайта там защита-то есть? То есть вместо собирания кучи мак-адресов просто засовываем в популярный сайт скрипт, сопоставляющий пользователя с его данными из московского вайфая… Рекламщики такой инфе порадуются…
Да ну что вы, какие глупости. Как же тогда на популярном сайте премиум контент втюхивать?
Этому Same Origin Policy должна помешать
Ей только браузеры обязательно следуют, а на сервере нужно самому защиту писать. Из вроде как надёжных способов вспоминается только проверка по IP-адресам (диапазон + запрет на прокси).
на сервере нужно самому защиту писать
В целом, конечно, да, но предложенный Germanets механизм требует, чтобы скрипт выполнился в браузере пользователя на сайте атакующего, получил данные с сайта метро и отправил их далее. Защита браузера не даст доступа к запрошенным данным.
Раньше тырил куки от контакта, одноклассников, fb и кучи других сайтов через DroidSheep. Можно было узнать не только номер красотки, но и почитать ее переписку ))) Сейчас большинство сайтов ввели защиту от этого.
Я честно не ожидал, что за четыре часа, которые пройдут, вы сможете просто взять и прошерстив эти данные, найти снова телефон. Сейчас иду в метро, проверять/менять пост. Спасибо за инфу, Antxak!
НЛО прилетело и опубликовало эту надпись здесь
Ставь +1, если как я ни разу в жизни не заходил в публичную Wi-Fi сеть,
требующую ввести телефон.
требующую ввести телефон.
Если у кого-то нет доступа к московскому метро — я скачал wget -rом auth.wi-fi.ru и auth.wi-fi.ru/auth для своего mac-адреса. Телефон — 79017980642.
В authorizat.bundle.js есть что-то похожее на расшифровку вещей из UPD4.
homeStationId:window.userData["104c52d70d"],jobStationId:window.userData.f4befe4ab6
Короче говоря, мне не особо удалось расшифровать данные, но зашифрованы только перечисляемые типы — т.е те, которые возможно все сохранить в виде списка ключ-значение на сервере. Между всеми клиентами они одинаковы, так что в принципе возможно сделать статистический анализ и найти что и что значит.
Ну либо сравнить со старыми данными.
Ну либо сравнить со старыми данными.
> curl --retry 3 -s -b .ck -c .ck 'https://auth.wi-fi.ru/auth?segment=metro' > /dev/null 2>&1
> -b .ck
Интересно, кука с названием ".ck" и без значения, которая в хедере https запроса будет выглядеть как «Set-Cookie: .ck=», это специально такая закладка в скрипте чтоб майору легко вычислять хабра юзера собирающего приватные данные?
p.s.
кто не понял, вот ман на курл:
-b, --cookie <name=data>
(HTTP) Pass the data to the HTTP server as a cookie. It is sup‐
posedly the data previously received from the server in a «Set-
Cookie:» line. The data should be in the format «NAME1=VALUE1;
NAME2=VALUE2».
> -b .ck
Интересно, кука с названием ".ck" и без значения, которая в хедере https запроса будет выглядеть как «Set-Cookie: .ck=», это специально такая закладка в скрипте чтоб майору легко вычислять хабра юзера собирающего приватные данные?
p.s.
кто не понял, вот ман на курл:
-b, --cookie <name=data>
(HTTP) Pass the data to the HTTP server as a cookie. It is sup‐
posedly the data previously received from the server in a «Set-
Cookie:» line. The data should be in the format «NAME1=VALUE1;
NAME2=VALUE2».
Хотя проверил на практике, поскольку нет знака равно (-b .ck=), то насамом деле curl просто игнорирует опцию -b и не отсылает куку без значения
Это для проставления кук от сервера, без неё сервер скажет, что у нас печеньки отключены. И она открывает файл .ck.
If no '=' symbol is used in the argument, it is instead treated as a filename to read previously stored cookie from.
С номером телефона всё понятно (через него идёт авторизация), но объясните, пожалуйста, немосквичу, откуда у них данные по полу и возрасту?
UPD: Добавил в gist маппинги для некоторых кусков данных, так как мне надоело ждать их ответ на то, что данные легко поддаются статистическому анализу.
5777de2cd9 age
7ef6265d 4500
0ae09acd 3544
c40467ec 1217
00f0d9de 1824
fd5a4e2f 2534
3d2e2a0d80 profit
785d323e low
85ebdc3d high
b8a058b4 medium
cb19ed6f70 occupation
1d049b46 student
78051d61 unemployed
4294e679 housewife
5e97672e80 family_status
b2ccc4af not married
d858a4ad active search
7dce1b03 marriedполучив печеньки, можно получать данные из любой сети
Мне кажется, что Максима, вместо благодарности, занесла на обеление Беспощадному пиарщику в ТГ. Ох, не надо так, девочки!
Простите, продолжаю наблюдение. Еще и Кремлевскому мамковеду занесли. Удивительные люди, конечно.
Ну наконец-то и контрольный выстрел — подключился агрегатор телеграма всея руси Караульный.
cab404, я считаю, это успех.
cab404, я считаю, это успех.
kk, найс
Вообще в конечном итоге, если гипотетический собиратель юзал загрузку не инфы о юзере с генерирующейся на сервере страницы, а просто хапал печеньку и позже скачивал инфу из дома по ней (обнаружил, что так можно уже чуть позже, на третьем апдейте где-то), то скорость так сурово возрастает засчет того, что не приходится качать страничку на медленном соединении. Плюс опять же, атака крайне легко распределяется по куче wi-fi карт, как где-то выше уже говорили.
Вообще в конечном итоге, если гипотетический собиратель юзал загрузку не инфы о юзере с генерирующейся на сервере страницы, а просто хапал печеньку и позже скачивал инфу из дома по ней (обнаружил, что так можно уже чуть позже, на третьем апдейте где-то), то скорость так сурово возрастает засчет того, что не приходится качать страничку на медленном соединении. Плюс опять же, атака крайне легко распределяется по куче wi-fi карт, как где-то выше уже говорили.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как уже снова не получить телефон (почти) любой красотки в Москве, или интересная особенность MT_FREE