Уязвимость рикардо милоса и многое другое

MR_smoker

Арбитр
АРБИТРАЖ
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
ЮБИЛЕЙНАЯ ЛЕНТА

MR_smoker

Арбитр
АРБИТРАЖ
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
ЮБИЛЕЙНАЯ ЛЕНТА
Регистрация
20 Июн 2018
Сообщения
1,734
Реакции
632
Репутация
39
Род занятий

Отрисовка документов

Отойдем от темы сбора информации, получения несанкционированного доступа к различным устройствам и способам защиты от этого. Захотелось написать что-то простое, но на тематику информационной безопасности.

Начнем с небольшой предистории, а точнее с гугл карт. Что в них не так? Эти угодники наполнены различными багами с ног до головы. Допустим, я - владелец какого-нибудь ресторана, в стране, в которой основную часть экономики составляет третий сектор, а именно - туризм. Большинство туристов пользуются картами для того, чтобы добраться до моего заведения, где, в теории, оставят свои деньги мне.

Я заинтересован в добавлении моего заведения на карты, и естественно, это элементарно, но мы не о этом. Поскольку подтверждение бизнеса не проходит в электронном формате, некоторые владельцы ждут письма Google очень долго, а некоторые и вовсе забивают на это, что открывает нам лазейку. Доступ к ПК не получить, но бизнес загнуть - вполне возможный вариант. Информация дальше представлена только в ознакомительных целях.

По традиции, в мои обязанности входит вставить сюда авторский дисклеймер, который по общепринятым суждениям должен избавить от ответственности, но мы прекрасно пониманием, что даже если представленная информация будет использована с зловредными целями и, даже если кто-то пострадает, то вина исключительно на ваших плечах, ну и на моих, конечно. Никакой дисклеймер и тому подобная чушь не избавит меня от мучений совести, ведь какие-то моральные качества сохранить мне удалось. При написании этой статьи мною двигали только добрые побуждения. Это не инструкция, как хакнуть ПК друзей, не-е-е-т! Это сделано, чтобы от подобных действий каждый из читающих мог защитить себя и свои персональные данные от действий неблагонадёжного контингента.

Уязвимость имени Рикардо Милоса

Думаю многие встречались с ситуацией, когда гугл показывает некорректную информацию о заведении, бизнесе. Школа им. Рикардо Милоса, парк им. Рикардо Милоса, - подобный список можно продолжать бесконечно. Эта уязвимость стала известной благодаря кучке школьников, которые дружно начали переименовывать свои учебные заведения, называя их в честь известного бразильского стриптезёра - Рикардо Милоса.

Ещё немного теории и информации, о чём мы будем разговаривать:
  • Google maps работает по принципу большинства, то есть если много личностей с разными айпи адресами предложат одинаковое исправления - гугл изменит в пользу большинства и да, любые правки будут приняты, будто это изменения на нецензурную брань.
  • Подобным способом можно изменить время работы и прочую информацию, даже присвоить бизнес себе, а следовательно это переходит в выгодную борьбу с конкурентами для других заведений. Только представьте себе, что будет если изменить время работы ресторана, в котором клиентура ориентируется на туризм, а следовательно и на карты.




Перейдем к практике. Сразу предупреждаю, всё показанное ниже лишь пример, далее я вернул всё обратно.

Переходим в карты, ищем любое заведение. Жмём предложить исправления и правим. После проводим аналогичные действия с нескольких аккаунтов с использованием ВПН или прокси. Теперь давайте ещё присвоим себе неподтверждённое заведение. Дальше показывать не имеет смысла: и так ясно.






Продолжим тему багов гугла и перейдём на более странную тематику. Никогда не задавались вопросом, как по аккаунту гугл+ или же через отзывы на тех же гугл картах возможно узнать реальную почту нашего комментатора? Для этого мне нужно было провести мини-исследование.





Переходим на профиль комментатора, ищем в ссылке что-то подобное этому “105421924572493512608”, затем всё просто, переходим в почту, в графе адресата вписываем “[email protected]”, где эти непонятные цифры - ID гугл+ аккаунта, после этого я провёл тест. Взял свой аккаунт, узнал у него этот таинственный айди и вставил в подобную форму - получил письмо на реальную почту. Подобное работает и с ютубом, и с прочими сервисами, а если уж нужна реальная почта, то посредством СИ заставьте ответить нашу жертву и письмо будет доставлено с реального адреса.

Календарный баг





Переходим к самому интересному и занятному способу, который даже меня удивил и порадовал. Имея информацию о гугл+ аккаунте и его почту, мы можем создать фейковое оповещение от календаря у него на телефоне или другом устройстве, чем мы должны быть благодарны гуглу. Давайте зафлудим телефон нашего недруга такими уведомлениями, причём можно использовать и айди гугл+, не обязательно даже знать его почту. Без лишнего пафоса переходим в раздел "календарь", где создаем новое мероприятие, после переходим в раздел "править", где добавляем в качестве гостя своего недруга или друга и удаляем себя из гостей, прежде сняв галочку с "показать всех приглашённых". Затем нажимаем "не отправлять", так сделаем уведомления более таинственным и неожиданным. По сути, это не является багом, но имея в распоряжении несколько свободных минут и почту, посредством добавления гостей в мероприятие, мы можем спокойно создавать фейковые уведомления. Просто представьте лицо человека у которого сработает уведомление в 3.00 ночи. Используйте с умом.

Выводы

Честно, я не знаю, какие выводы здесь делать. Наверное о том, что все системы в интернет-пространстве не способны гарантировать полную конфиденциальность пользователя и всячески компрометируют нас. (Да я о календарных уведомлениях в 4 утра). Всего всего хорошего,бывайте. Под итог хотелось бы сказать,что эта статья планировалась куда побольше,но из-за нехватки материала и человеческой лени она так и не получила должный объем.
 
Сверху