lunes, 14 de abril de 2014

Movibug

Descubrí un bug (comportamiento no esperado en una aplicación) de seguridad en movistar. Me parece que lo mejor que puedo hacer es compartirlo para que sea de público conocimiento. La primera vez que lo vi fue en enero y sigue en vigencia.

Estaba revisando mis movimientos en la página y me llamó la atanción lo mucho que demoraban las peticiones. Entonces entré en el modo desarrollador del browser y mi fijé cómo era la petición HTTP para ejecutarla yo.

Aqui un ejemplo modificado de la url:
https://online.movistar.com.ar/services/movimientoServlet?fechaDesde=14042014&fechaHasta=14042014&categoria=&orden=0&numeroLinea=XXXXXXXXXX

Como conté en otro post las peticiones HTTP pueden tener una serie de parámetros que se envían al servidor. En este caso me sorprendí bastante con los parámetros:

  • fechaDesde y fechaHasta, indican el período en el que se quieren ver los movimientos
  • categoria, indica qué tipo de movimientos, vacío es todo de tipo
  • orden, este parámetro no entendí bien su uso, pero no importa demasiado
  • ¿numeroLinea?
El último parámetro es el número de línea, y era mi número de celular. Por lo que pensé que si cambiaba este parámetro por otro número ¡podría ver los llamados y SMS hechos por cualquier otro número de Movistar!

Esperaba que sucediera algún tipo de error, pero no. Funcionó. Ingresé varios números de amigos clientes de Movistar y pude ver sus movimientos.

Nota: el formato de la respuesta es JSON, pero si se presta atención se puede entender un poco. También hay herramientas que ayudan a visualizar estos formatos.

Para reproducir el bug:
  1. Ingresar a la web de movistar
  2. Loggearse con usuario y contraseña. Si tienen uno se pueden registrar.
  3. En la barra de direcciones escribir una url como la siguiente reemplazando las "X", con código de area, por su número de línea: https://online.movistar.com.ar/services/movimientoServlet?numeroLinea=XXXXXXXXXX&fechaDesde=14042014&fechaHasta=14042014&categoria=&orden=0


Espero que arreglen esto pronto.
Saludos