شركة حماية تكتشف ثغرات في خطوط اتصالات.. خصوصيتك في خطر
كشفت شركة Seekurity عن وجود عدة ثغرات فى انظمة شركة اتصالات المصرية، تضر المستخدمين والعملاء، لافتين إلى أنهم حاولوا التواصل مه المسئولين في الشركة لكنهم فشلوا في ذلك وأرسلوا لهم تقارير عن هذه الثغرات التي تم اكتشافها في يوم 12 سبتمبر 2019.
ثغرات شركة اتصالات مصر
ونشرت الشركة تفاصيل الثغرات الموجودة في خطوط اتصالات مصر وهي كالتالي حسب نص بيان الشركة:
بالنسبة لتفاصيل الثغرات، للاسف اتصالات مش زى ماكانت بتقول انها بتستخدم احدث التكنولوجيا فى امان العملاء لدرجة ان اول ثغرة من الثغرات المكتشفه كانت بعنوان "Etisalat Misr is leaking valid user’s sessions on Google search and via unencrypted communications" ودا معناه ان جلسات العمل او ال Session الخاصة بحسابات العملاء كانت متسربة او cached على محرك البحث جوجل لدرجة انك ممكن تدخل حساب اى شخص من خلال بعض كلمات البحث فى جوجل او Google dorks لان للاسف الرابط اتسرب فى نتائج البحث كان بيحتوى على ال authentication token الخاص بحساب المستخدمين على الموقع واللى تقدر تستخدمة علشان تقوم بإجراء اى عمليات متاحه على الحساب واللى اخطرها تحويل الرصيد او الاشتراك فى باقات جديده ودا بيفسر احيانا سؤال "هوا انا رصيدى بيروح فين؟" و "الشركات دى بتسرقنا!" و "رصيدى بيخلص بسرعة" و "انا كنت على خطة مكالمات او انترنت س ولقيت نفسى على ص!" ودا هتلاقوا فيديو له هنا: https://youtu.be/v9Mp8EfUY3Y
وهنا: https://youtu.be/hvudADbDsu8
الثغرة الثانية بعنوان "Etisalat Misr Mobile App is maintaining access of recycled SIM cards" ودى ببساطة كدا فشلت فيها اتصالات مصر بسبب ال Security design الفقير اللى بتستخدمة فى بناء منتجاتها، الثغرة ملخصها انك (المشترك الاول) لو اشتريت مثلا شريحة علشان تستخدمها بشكل مؤقت وقمت بفتح حساب جديد ليها على تطبيق موبايل Etisalat Misr وبفرض انك مقمتش استخدام الشريحة لمدة ٣ شهور فبيتم اعادة تدويرها او "بتتسحب منك وتروح لمنافذ البيع من جديد علشان حد تانى يقدر يشتريها ويستخدمها (المشترك الثانى) بيفضل انت (المشترك الاول) ليك حق الوصول ليها من خلال التطبيق الخاص بالموبايل وهسيبك انت تفكر فى كل اللى تقدر تعمله بتطبيق الموبايل دا، ودا بيجاوب بردو على نفس الاسئلة اللى فاتت "هوا انا رصيدى بيروح فين؟" و "الشركات دى بتسرقنا!" و "رصيدى بيخلص بسرعة" و "انا كنت على خطة مكالمات او انترنت س ولقيت نفسى على ص!" وهتلاقى ال proof of concept موجود فى رابط التدوينة الرسمية الموجوده فى اخر البوست دا!
الثغرة الثالثة بعنوان "Etisalat Misr is Leaking subscriber phone number to ANY Third-Party Website violating subscriber’s privacy" كانت مرتبطة اكتر بالخصوصية، رقم تليفونك الايام دى عامل زى رقم بطاقتك كدا، اصبح مربوط بيك واصبح هو وسيلة دخولك لحساب البنك بتاعك ووسيلة لإسترداد حساباتك على مواقع التواصل الاجتماعى فى حالة سرقتها او واجهت مشاكل فيها، المشكلة دى بتتمثل فى انك طول مانت متصل بالانترنت سواء من خلال Etisalat Hotspot او Etisalat ADSL يقدر اى شخص بكون جافا سكريبت بسيط انه يسرق رقم التليفون اللى انت داخل بيه لو قمت بشكل ما بالدخول الى الموقع الخبيث اللى هيستضيف كود الجافا سكريبت دا ودى هتلاقوا فيديو ليها هنا: https://youtu.be/iLRoUU0gXtA
الثغرة الرابعة بعنوان "Etisalat Misr is Injecting its "Etisalat Widget" in ANY unencrypted communications" ودى اتكلمنا عنها فى حادثة حصلت فى تطبيق بنك كبير ومعروف وكانوا بيقوموا بحقن ما يسمى Etisalat Widget ودى عبارة عن مربع صغير كدا بتلاقيه بيظهرلك وانت بتتصفح مواقع الانترنت اللى مش بتستخدم HTTPS وبيوريلك معلومات اساسية عن رصيدك ورقم تليفونك وكام ميجا باقية فى الباقة، الخ…، طبعا دا مش قانونى على الاطلاق لان زى ما شوفنا وحصل فى مشكلة بنك معين فى مصر، اتصالات مصر كانت بقوم بحقن ال Etisalat Widget داخل تطبيق البنك نفسه مما يعرض سلامة وخصوصية وامن مستخدمى تطبيق البنك نفسه حتى وإن اعتبرنا إن "شركة اتصالات مصر" شركة مش عايزه ضرر للمستخدم، تطبيق البنك هو التطبيق اللى يلام عليه لان لو كل اتصالاته امنه شركة اتصالات مش هتقدر تحقن ال Widget دى داخل التطبيق!
الثغرة الخامسة بعنوان "Etisalat Misr User Portal over Unencrypted Communications on Etisalat.eg domain" حتى وإن لم تكن درجة خطورتها بنفس درجة خطورة الثغرات السابقة الا انها ثغرة كان واجب علينا اننا نبلغهالهم، ودى كانت ان الدومين اللى اسمه etisalat.eg مش بيستخدم شهادة لحماية خصوصية الاتصال مابين المستخدم وخوادم خدمات شركة اتصالات، للاسف دى واحده من ال basics الخاصة بالسكيوريتى ومش هنتكلم فيها كتير هنا لانى اتكلمت عن النقطة دى بشكل كافى يخليك تفهمها.
نصائح علشان تحمى نفسك
حاول انك اول شئ تعمله لما تشترى شريحة اتصالات جديدة انك تسجلها على تطبيق موبايل اتصالات علشان تمنع اى اساءة استخدام للشريحه بتاعتك من قبل اى مشترك سابق، الشريحة اللى امت لسه مشتريها دى مش جديدة، دى معاد تدويرها.
متستخدمش اى خدمات اونلاين لشركة اتصالات مصر لحد ما يصلحوا الثغرات المذكورة.
حاول تسجل خروجك من كل جلسات العمل النشطة الخاصة بخدمات الانترنت الخاصة بشركة اتصالات لان جايز تكون جلسات العمل دى او حسابك تم تسريبة زى ما ذكرنا فى الثغرة رقم ١
حاول تستخدمVPN علشان تحافظ على خصوصيتك اونلاين حتى لو المواقع اللى بتزورها غير امنه دا هيديلك جزء من الامان.
ملحوظة مهمة: الثغرات اللى تم اكتشفناها دى تم اكتشافها بدون تدخلنا او بحثنا عن ثغرات فى مواقع او حتى طلب اى resources او لمس مخدمات خدمات اتصالات او ما يعرف بال passive testing (تقدر تبحث عن المصطلح دا فى جوجل علشان تعرف اكتر)