Опубликована уязвимость у всех российских сотовых операторов, позволяющая узнать номер, IMEI и местоположение абонента.

Цитата (ivanpetro @ 29.12.2017 - 22:49)

Цитата (shpiegel @ 29.12.2017 - 22:32) Не выходит чёта(( Эт потому шта у тебя телефон неправильный не рутоованный (голосом кота из просттоквашино)

А мож и потому, что батька Лукашенко меня бережет? )))
Хоть и у меня МТС тоже.

Цитата (Scrat80 @ 29.12.2017 - 20:32)

Ну номер телефона абонента вообще то определяется и так и без уязвимости. Местоположение- ну узнали вы и дальше что? Тем более что такая услуга тоже есть. IMEI устройства- ну и чего? Ну узнали , дальше что? В чём паника то?

И когда это было секретом? Местоположение и номер....дырка то не в опсосе, а в платформе тогда должна быть. Чёт хуета какаято написана.

Цитата (EraserEx @ 29.12.2017 - 20:07)

А у меня телефончик без доступа в инет - тупая звонилка. Мне тоже бояться?

Да без разницы какой у тебя телефон, главное что-бы был номер.
И тогда можно зайти со своего смарта как-будто в нём твоя симка, при этом бесплатно лазить по инэту, натворить всяких делов, а в итоге приедут дяди к тебе, а не ко мне. И ты будешь им глядя лицом в пол объяснять что у тебя тупая звонилка.

А это уже может быть проблемой.

Это сообщение отредактировал Fink - 29 дек. 2017 г. в 23:07

Цитата (vor0bjevandr @ 29.12.2017 - 22:52)

Цитата (ivanpetro @ 29.12.2017 - 22:31) Цитата (ыф100 @ 29.12.2017 - 20:16) а таким образом эти пидоры могут заменить номер телефона, привязанный к банковской карте? а то народ уже жалуется Хорош хрень всякую нести , хрен ты номер сменишь без обращения в банк и письменного заявления.... Легко, номер телефона сбербанк онлайн меняется в терминале и пол года назад онлайн можно было, заявка не нужна.

Если не сложно запили видос где ты меняешь номер телефона без доступа к аппарату (телефон с моб банком ) и отсутствии карты ...оч хочется взглянуть .

Цитата (ASDK @ 29.12.2017 - 22:57)

Зашёл....номер и регион определил, позвонил наорала на меня. Хуевая новость...интернет с телефона стал очень опасен. Отправлено с мобильного клиента YAPik+

тоже позвонили,я чуть кирпичей не наложил.
Слабонервным не слушать

Цитата (EraserEx @ 29.12.2017 - 20:07)

А у меня телефончик без доступа в инет - тупая звонилка. Мне тоже бояться?

Еще во времена CDMA с Мотороллы через инженерное меню можно было сделать очень много. По крайней мере со StarTac.

Позже с приходом GSM всех убедили, что этот протокол не ломаем, но это не так.

Есть уже давно аппаратные комплексы, которые эту защиту ставят раком уже лет хз сколько. Отечественные причем.

Так что не надо быть наивным. Вся эта защита - это ширма "безопасности".

И даже нокию 3110 отследят. Правда там есть интересные модели в лимитированном варианте, но это тема отдельная.

Цитата (kensajou @ 29.12.2017 - 20:11)

А у меня смартфон. Новый. Но я аккаунт не добавил, в инет с него не выхожу, пользуюсь только СМС и звонками. Ну и будильник ставлю. А сам такой думаю - внешне у меня заебись телефон, а вот что не пользуюсь его функциями и нахуй я вообще его купил, не понимаю. Ну не нужно мне это, бля буду. На кой хер мне по дороге на работу что-то срочно узнавать? Я с утра новости за компом почитал, уехал на работу. Я час еду. Все умрут, блядь, если в этот час что-то произойдёт? Меня нет ни в одной соцсети. Жены моей тоже. Соответственно, уведомлений таких нет. Мне похую кто там куда ездил и в каком купальнике. Из знакомых. Вообще насрать. Неинтересно. Мне нахуй не надо подпрыгивать из-за рекламного сообщения. Что срочное - я узнаю и так. Катастрофическое узнаю общей тревогой. А прочая поебень мне неинтересна. И, кстати, большую часть дня у меня телефон на беззвучке. Я реагирую чаще всего только на звонки, мне знакомые. А так - хоть обзвонитесь. До пизды. Уверен, я такой далеко не один

Ну тел твоей жены есть 8-908-0х1-04-10 Наталья, верно? И без всяких заходов на сайт с твоей звонилки.
Дальше искать, фото/номер машины?)))


Отправлено с мобильного клиента YAPik+

Цитата (SPshkO @ 29.12.2017 - 23:10)

Цитата (kensajou @ 29.12.2017 - 20:11) А у меня смартфон. Новый. Но я аккаунт не добавил, в инет с него не выхожу, пользуюсь только СМС и звонками. Ну и будильник ставлю. А сам такой думаю - внешне у меня заебись телефон, а вот что не пользуюсь его функциями и нахуй я вообще его купил, не понимаю. Ну не нужно мне это, бля буду. На кой хер мне по дороге на работу что-то срочно узнавать? Я с утра новости за компом почитал, уехал на работу. Я час еду. Все умрут, блядь, если в этот час что-то произойдёт? Меня нет ни в одной соцсети. Жены моей тоже. Соответственно, уведомлений таких нет. Мне похую кто там куда ездил и в каком купальнике. Из знакомых. Вообще насрать. Неинтересно. Мне нахуй не надо подпрыгивать из-за рекламного сообщения. Что срочное - я узнаю и так. Катастрофическое узнаю общей тревогой. А прочая поебень мне неинтересна. И, кстати, большую часть дня у меня телефон на беззвучке. Я реагирую чаще всего только на звонки, мне знакомые. А так - хоть обзвонитесь. До пизды. Уверен, я такой далеко не один Ну тел твоей жены есть 8-908-0х1-04-10 Наталья, верно? И без всяких заходов на сайт с твоей звонилки. Дальше искать, фото/номер машины?))) Отправлено с мобильного клиента YAPik+

Валентин Борисович А. ?))) Вас зовут

Отправлено с мобильного клиента YAPik+

а я думаю че у нас админ так увлеченно после обеда читал. а оно вон чего...

а в личном кабинете можно ли включить перенаправление смс на другой номер? то бишь как с почтой, кто в курсе? если так, то это под угрозой аккаунты различные, привязанные к телефону.

Цитата (EraserEx @ 29.12.2017 - 19:07)

А у меня телефончик без доступа в инет - тупая звонилка. Мне тоже бояться?

а я вообще еще из пещеры не вышел

Цитата (DonCorleone @ 29.12.2017 - 20:26)

У меня 21 личный номер. Что блядь я должен теперь делать? Мне страшно

от плять, мадагаскарский шпион?

хы... только думал - может смартфон купить? и передумал.

Цитата (БатькаМахно @ 29.12.2017 - 23:47)

Цитата (EraserEx @ 29.12.2017 - 19:07) А у меня телефончик без доступа в инет - тупая звонилка. Мне тоже бояться? а я вообще еще из пещеры не вышел

Ага и комп у тебя старый ламповый ещё с него и пишешь

Цитата (EraserEx @ 29.12.2017 - 20:07)

А у меня телефончик без доступа в инет - тупая звонилка. Мне тоже бояться?

Сразу видно, что человек не в струе.

ОпСоСу насрать, какой у тебя телефон, если он раскрывает данные третьим лицам, когда тот пользуется их сайтами. ЛК или любой другой сайт интрасети с таким методом передачи достаточно приватной информации.

Это закроют теперь достаточно быстро. Другое дело, когда это стало известно злоумышленниками и спамерам.

Цитата (cracklover @ 29.12.2017 - 20:02)

чтобы при заходе на сайт вообще не принадлежащий сотовому оператору, от абонента на этот сайт отдавались следующие данные: 1) номер телефона абонента, закрепленный за SIM-картой, с которой происходит выход в интернет при заходе на такой злонамеренный сайт. 2) в некоторых случаях IMEI устройства. 3) при некоторых условиях - местоположения абонента по идентификаторам базовой станции, на которой сейчас работает абонент. 4) иные данные.

Чтобы абонент передал эти данные - браузер абонента должен уметь это делать.
никаких команд в http для этого нет. Вы точно правильно сформулировали опасность?

При внимательном чтении статьи выяснилось что ТС обманулся и паникер. Заголовки отдаются только при заходе на служебные домены операторов, отдаются самим сайтам оператора. Любая программа ведущая обращение к их сайту может перехватить пакет и узнать ваши координаты. Никакой любой другой сайт не операторский это сделать не может.
Подменой заголовков автор статьи добился лишь нетарифицируемого трафика, это актуально у кого там подключены пакеты в мегабайтах.

Пиздец ТС специалист...

Это сообщение отредактировал 28e - 30 дек. 2017 г. в 00:16

минусаторы ,обдолбитесь.

США уже собрали 7 миллиардов банковских досье граждан со всего мира.

Мой последний смартфон утонул в луже.

Купил самсунг с фонариком. Уже год с ним хожу.

Мне, как интернето-зависимому, полезно не иметь интернет в кармане. Он дома, на компе.

Цитата

1) номер телефона абонента, закрепленный за SIM-картой, с которой происходит выход в интернет при заходе на такой злонамеренный сайт. 2) в некоторых случаях IMEI устройства. 3) при некоторых условиях - местоположения абонента по идентификаторам базовой станции, на которой сейчас работает абонент. 4) иные данные.

И что даёт вся эта информация? Хрень какая то. И что за иные данные? Мои контакты? Да пусть смотрят. Всяких мобильных банков я не держу. Даже полностью месяц пользования тарифом не оплачиваю. Бабла на телефоне, фактически на неделю-две, привычкой уже стало...

Цитата (tehnomag @ 30.12.2017 - 00:17)

И что за иные данные?

Может еще какие-то куки. Например сид от вашего аккаунта на форуме онлайма, куда послав запрос можно пощелкать по кнопка смены пароля или поудалять темки.

Цитата

сумел разобраться с тем, как сотовые операторы внедряют свои служебные заголовки в открываемые абонентами сотовых операторов страницы различных служебных сайтов сотовых операторов и научился модифицировать эти заголовки таким образом, чтобы при заходе на сайт вообще не принадлежащий сотовому оператору, от абонента на этот сайт отдавались следующие данные

Бля.... Нихуя не понял....

Америку открыл.

Цитата (EraserEx @ 29.12.2017 - 20:07)

А у меня телефончик без доступа в инет - тупая звонилка. Мне тоже бояться?

Вам в первую очередь. Потому как имея такие данные могут делать звонки и рассылать сообщения . После чего за вами приедет воронок и вы никак не отмажетесь. Потому как с цифровой точки зрения всё это делали именно вы.

Цитата (28e @ 30.12.2017 - 00:10)

При внимательном чтении статьи выяснилось что ТС обманулся и паникер. Заголовки отдаются только при заходе на служебные домены операторов, отдаются самим сайтам оператора. Любая программа ведущая обращение к их сайту может перехватить пакет и узнать ваши координаты. Никакой любой другой сайт не операторский это сделать не может. Подменой заголовков автор статьи добился лишь нетарифицируемого трафика, это актуально у кого там подключены пакеты в мегабайтах. Пиздец ТС специалист...

при нихрена не внимательном чтении, умник!

я совершенно чётко написал, что информация может быть выдана при заходе на сайт, вообще не принадлежащий оператору, но я ни разу не писал, что информация не будет отдана самим оператором с его ресурсов!

тот тестовый сайт со статьи на хабре - лоднигра в зоне .xyz.
он что, блин, принадлежит оператору МТС или является его поддоменом?!
но инфа выдается через него!

сначала надо действительно внимательно читать что пишут, разобраться как именно работает дыра, а потом уже комментировать.

где я действительно ошибся, так это только в том, что указал, что соксы-прокси, vpn и ssh не спасут от деанонимизации в данном случае. спасут на самом деле! но многие ли вообще пользуются этими средствами?

Кто-то уже писал "пусть следят, мне скрывать нечего"?