Опубликована уязвимость у всех российских сотовых операторов, позволяющая узнать номер, IMEI и местоположение абонента.

В последние годы DPI активно внедряется у операторов ШПД. Это связано в первую очередь с законами. Яровой, 139-ФЗ итд. Так что подобным атакам может быть подвержен любой пользователь инета. Мобильного, домашнего, пофиг.

Цитата (MADBegb @ 29.12.2017 - 17:28)

Цитата (олдбич @ 29.12.2017 - 20:23) Цитата (kensajou @ 29.12.2017 - 17:11) А у меня смартфон. Новый. Но я аккаунт не добавил, в инет с него не выхожу, пользуюсь только СМС и звонками. Ну и будильник ставлю. А сам такой думаю - внешне у меня заебись телефон, а вот что не пользуюсь его функциями и нахуй я вообще его купил, не понимаю. Ну не нужно мне это, бля буду. На кой хер мне по дороге на работу что-то срочно узнавать? Я с утра новости за компом почитал, уехал на работу. Я час еду. Все умрут, блядь, если в этот час что-то произойдёт? Меня нет ни в одной соцсети. Жены моей тоже. Соответственно, уведомлений таких нет. Мне похую кто там куда ездил и в каком купальнике. Из знакомых. Вообще насрать. Неинтересно. Мне нахуй не надо подпрыгивать из-за рекламного сообщения. Что срочное - я узнаю и так. Катастрофическое узнаю общей тревогой. А прочая поебень мне неинтересна. И, кстати, большую часть дня у меня телефон на беззвучке. Я реагирую чаще всего только на звонки, мне знакомые. А так - хоть обзвонитесь. До пизды. Уверен, я такой далеко не один а нахуя тебе тогда вообще смартфон? Чтобы на Япе зависать Отправлено с мобильного клиента YAPik+

так как он зависать то будет.он же ни где не зарегистрирован и в интернет не выходит со смарта.

Цитата (Voronezher @ 29.12.2017 - 20:28)

Ооо, ну местоположение с точностью до соты - это прямо ужас. *сарказм Цитата номер телефона абонента, закрепленный за SIM-картой, с которой происходит выход в интернет при заходе на такой злонамеренный сайт. Учитывая, что большинство с мобил сидит в соцсетях, где авторизация по номеру..тоже можно градус паники снизить.

Градус нельзя понижать, даже когда пьём напитки с градусами
А если серьезно, Вы совсем не учли об опасности попадания чужих людей в чужие Личные кабинеты, причем далеко не путем банальной "подсадки" в режиме tethering на смарт или планшет очередного дятла с Open-авторизацией по wifi!
Тут все на-а-амного круче. Могут "заскочить" в чужой Личный кабинет простой манипуляцией с заголовками в запросах обращений на "нужные" страницы.

Цитата (олдбич @ 29.12.2017 - 22:34)

Цитата (MADBegb @ 29.12.2017 - 17:28) Цитата (олдбич @ 29.12.2017 - 20:23) Цитата (kensajou @ 29.12.2017 - 17:11) А у меня смартфон. Новый. Но я аккаунт не добавил, в инет с него не выхожу, пользуюсь только СМС и звонками. Ну и будильник ставлю. А сам такой думаю - внешне у меня заебись телефон, а вот что не пользуюсь его функциями и нахуй я вообще его купил, не понимаю. Ну не нужно мне это, бля буду. На кой хер мне по дороге на работу что-то срочно узнавать? Я с утра новости за компом почитал, уехал на работу. Я час еду. Все умрут, блядь, если в этот час что-то произойдёт? Меня нет ни в одной соцсети. Жены моей тоже. Соответственно, уведомлений таких нет. Мне похую кто там куда ездил и в каком купальнике. Из знакомых. Вообще насрать. Неинтересно. Мне нахуй не надо подпрыгивать из-за рекламного сообщения. Что срочное - я узнаю и так. Катастрофическое узнаю общей тревогой. А прочая поебень мне неинтересна. И, кстати, большую часть дня у меня телефон на беззвучке. Я реагирую чаще всего только на звонки, мне знакомые. А так - хоть обзвонитесь. До пизды. Уверен, я такой далеко не один а нахуя тебе тогда вообще смартфон? Чтобы на Япе зависать Отправлено с мобильного клиента YAPik+ так как он зависать то будет.он же ни где не зарегистрирован и в интернет не выходит со смарта.

я с телефона никуда не выхожу. Я зареган дохуя где, окромя соцсетей. Но ни разу никуда с телефона не выходил. Зачем? Что изменится? Кого я спасу, если выйду на наш ЯП среди дня с телефона?

Это сообщение отредактировал kensajou - 29 дек. 2017 г. в 20:36

Цитата (Scrat80 @ 29.12.2017 - 22:32)

Ну номер телефона абонента вообще то определяется и так и без уязвимости. Местоположение- ну узнали вы и дальше что? Тем более что такая услуга тоже есть. IMEI устройства- ну и чего? Ну узнали , дальше что? В чём паника то?

IP цели за натом злоумышленник тоже может узнать. А это очень неприятно может быть.

Цитата (Scrat80 @ 29.12.2017 - 20:32)

Ну номер телефона абонента вообще то определяется и так и без уязвимости. Местоположение- ну узнали вы и дальше что? Тем более что такая услуга тоже есть. IMEI устройства- ну и чего? Ну узнали , дальше что? В чём паника то?

Дак это лишь часть дыры!
Почитайте всё описание на хабре! Когда без Вашего ведома в лицевой счет зайдут скрипт-киддисы (кулхацкеры, по народному), навтыкают платных подписок, включат "прикольный тарифчик" - скептицизм улетучится мигом.

Это сообщение отредактировал cracklover - 29 дек. 2017 г. в 20:39

Цитата (олдбич @ 29.12.2017 - 20:23)

Цитата (kensajou @ 29.12.2017 - 17:11) А у меня смартфон. Новый. Но я аккаунт не добавил, в инет с него не выхожу, пользуюсь только СМС и звонками. Ну и будильник ставлю. А сам такой думаю - внешне у меня заебись телефон, а вот что не пользуюсь его функциями и нахуй я вообще его купил, не понимаю. Ну не нужно мне это, бля буду. На кой хер мне по дороге на работу что-то срочно узнавать? Я с утра новости за компом почитал, уехал на работу. Я час еду. Все умрут, блядь, если в этот час что-то произойдёт? Меня нет ни в одной соцсети. Жены моей тоже. Соответственно, уведомлений таких нет. Мне похую кто там куда ездил и в каком купальнике. Из знакомых. Вообще насрать. Неинтересно. Мне нахуй не надо подпрыгивать из-за рекламного сообщения. Что срочное - я узнаю и так. Катастрофическое узнаю общей тревогой. А прочая поебень мне неинтересна. И, кстати, большую часть дня у меня телефон на беззвучке. Я реагирую чаще всего только на звонки, мне знакомые. А так - хоть обзвонитесь. До пизды. Уверен, я такой далеко не один а нахуя тебе тогда вообще смартфон?

Цветные камушки двигать...

И при этом менты вместе с пидарасами-операторами не могут найти украденные телефоны при помощи IMEI. Или просто не хотят ?

Цитата (EraserEx @ 29.12.2017 - 20:07)

А у меня телефончик без доступа в инет - тупая звонилка. Мне тоже бояться?

Да. В 2018 опсосы начнут отключать 2g сети. Сам как миленький купишь цмортфон, чтобы быть на связи

Цитата (Zamestas @ 29.12.2017 - 22:06)

Собственно пруф.

Пизда рулю.. щас точно закроют.

Цитата (cracklover @ 29.12.2017 - 20:30)

дальнейшие схемы даже упоминать страшно в случаях объединения с подменой dns.

Если весь трафик с вашей мобилки идет через VPN на прокси - то опсосу ловить в нем нечего, нет в настоящий момент у них ресурсов, что бы моментально расшифровать трафик и сделать в него инжекцию. Все запросы, в том числе и DNS - заворачиваете на vpn сервер, тем самым избегая дурные поползновения опсосов и блокировки роскомнадзора.

Цитата (FHD @ 29.12.2017 - 20:25)

а нахуя открывать страницы в телефоне? это же телефон!

Иногда нет ничего кроме мобильника. Приходится тогда пользоваться тем, что есть. Главное уметь этим пользоваться.

Цитата (Уасяжыесть @ 29.12.2017 - 22:49)

Цитата (EraserEx @ 29.12.2017 - 20:07) А у меня телефончик без доступа в инет - тупая звонилка. Мне тоже бояться? Да. В 2018 опсосы начнут отключать 2g сети. Сам как миленький купишь цмортфон, чтобы быть на связи

Есть пруф? Или это инсайдерская инфа? Интересно как владельцу 3310.

Это сообщение отредактировал AlexDLM - 29 дек. 2017 г. в 20:57

Хз, зашел просто так - увидел свой номер и регион.
Зашел с аннонимайзером, ничего не увидел.
Звонка нету - симка в USBмодеме )))

Цитата (Zulich @ 29.12.2017 - 20:48)

И при этом менты вместе с пидарасами-операторами не могут найти украденные телефоны при помощи IMEI. Или просто не хотят ?

Обычно не хотят браться менее, чем за особо-тяжкое. Если ограбили, или разбой, или тем более с убийством - в подобных случаях ухватятся на раз.

А просто кража, да еще у простого человека...

а мне похуй.
всё разрешил.

Денег один хуй нет, а кто хочет посмотреть что я делаю и где нахожусь - да пох, кому это интересно?

а если дыру залепить пакетом Яровой?

Цитата (Scrat80 @ 29.12.2017 - 20:32)

Ну номер телефона абонента вообще то определяется и так и без уязвимости. Местоположение- ну узнали вы и дальше что? Тем более что такая услуга тоже есть. IMEI устройства- ну и чего? Ну узнали , дальше что? В чём паника то?

шел первый день зимних каникул 17-го года,у школьнегов после порнухи осталось время почитать и осмыслить хабр,о чем они и похвастались. имхо.

Возьму себе такой смартфон.

Цитата (PapiRussia @ 29.12.2017 - 21:13)

Возьму себе такой смартфон.

Не факт что средств хватит на покупку. Вещь явно коллекционная - раритет.

Этот айфон абсолютно неуязвим.

Цитата

Тут все на-а-амного круче. Могут "заскочить" в чужой Личный кабинет простой манипуляцией с заголовками в запросах обращений на "нужные" страницы.

Ну тут я немного не в теме, сказать ничего обоснованного не могу..
Будем надеяться, что все не так страшно. Ну а пока что я, например, не сижу с мобилы в интернете.

а у импортных операторов не так?

Цитата (Bloodstone @ 29.12.2017 - 21:32)

а у импортных операторов не так?

Они демократично наблюдают за гражданами во имя их спокойствия и безопасности.

А у нас Кровавая Гэбня ™ следит за несогласными что бы упечь в Застенки и Угнетать.

Понимать надо разницу, или вы не прогрессивный общечеловек?

Цитата (ыф100 @ 29.12.2017 - 20:16)

а таким образом эти пидоры могут заменить номер телефона, привязанный к банковской карте? а то народ уже жалуется

Заголовки http запросов - там дофига информации, которая которая должна быть нежелательна к передаче. Посмотреть, чего там в заголовках гуляет, можно и без каких-то спецсредств - всё есть в браузере, в инструментах отладки, во вкладке «Сеть». Всё можно посмотреть, в т.ч. и заголовки (через которые много чего можно унести). Операторы этой фичей воспользовались, но оказалось, что не одни они такие умные.
То ли ещё будет, когда исполняемые блобы в браузер загружать (типа, так быстрее, избавимся от тормозов в JS) начнут.
А! Каким образом? Так вот таким же - передать номер жертвы, вместо своего.
Единственно, чего не увидел, это подделка ID СИМкарты (20 знаков, которые на самой СИМкарте мелоко написаны/выбиты). Из всех банков, на сколько помню, только Альфа повсеместно пользуется и Сбер в некоторых регионах. Т.е. номер телефона им, по крупному счёту, пофиг. И вообще номер телефона - это для людей на самом деле. Поиск абонента осуществляется по ID. А связь между номером и ID - она как в DNS. А найди-ка мне абонента с номером таким-то - в базе находится ID карты, привязанный к этому номеру и в сети ищется уже СИМкарта с сопоставленным ID.

Это сообщение отредактировал andrew1969 - 29 дек. 2017 г. в 21:59