Vytáčet čísel přímo z Outlooku, Thunderbirdu nebo Firefoxu

[v6ak]

Není to bezpečné, stránka se k tomu může snadno dostat:

Kód: Vybrat vše

Array.prototype.map.call(document.querySelectorAll('.telified'), function(x){return x.getAttribute('href');})

případně ještě jednodušeji:

Kód: Vybrat vše

document.querySelector('.telified').getAttribute('href')

(Obojí předpokládá mít na stránce nějaké číslo, které Telify zpracuje.)

Navíc, pokud načtu nějakou stránku přes nezabezpečené spojení (třeba toto fórum ), může kdokoli na síti pozměnit její obsah a vyčíst PIN k Odoriku.

Bylo by bezpečné mít tam nějaký okleštěný link, který by neobsahoval PIN a ani by přímo nepřesměroval.

[xsouku04]

Bylo by bezpečné mít tam nějaký okleštěný link, který by neobsahoval PIN a ani by přímo nepřesměroval.

Jo místo pinu a všech těch dalších parametrů by tam mohl být hash. Hash by byl přiřazen Vašemu nastavení u nás - z jakého čísla chcete volat. Tedy útočník by Vám mohl maximálně zavolat. Pokud ale vy byste to nezvedali, nikam by se spojit nemohl.

Jiná možnost, jak to zabezpečit, je volat URI ve tvaru Odorik://cislo_kam_spojit
A na protokol Odorik (podobně jako např. http:, telnet:,skype: a pod) bychom mohli nechat zaregistrovat skript, který by přes API udělal, co je potřebné.
Používáme to takto pro tisk účtenek přímo z webových stránek na lokální jehličkové tiskárně. Voláme uri ve formě tisk://text_co_chceme_vytisknout
Bezpečnostní riziko naprosto nulové. Možná že právě takto je použití toho URI myšleno.

[v6ak]

Mám pocit, že některé prohlížeče (Chrome?) vyžadují prefix „web+“.

Bezpečnost: Muselo by tam být nějaké potvrzení, jinak by někdo mohl prostě otevřít web+odorik://900123456 a způsobit hovor. Jasně, mohu to odmítout, ale je to otravné. A ne všichni si musejí uvědomit všechny souvislosti… Navíc by to mělo být odolné clickjackingu.

Autorovi Telify jsem problém nahlásil, včetně informace, že je to public.

(BTW, myslím, že bylo na místě to zveřejnit, když je už zveřejněný problém v Thunderbirdu. Utajování by stěží ochránilo uživatele, ten útok ve Firefoxu by mohl stejně už napadnout ledaskoho. Naopak, je teď asi důležitější varovat uživatele, aby to nepoužívali.)

[xsouku04]

Thunderbird nepoužívá chrome jako prohlížeč, ale přímo sám sebe - jakási kopie firefoxu.
Pokud by se u mého telefonního čísla objevilo odorik://533533533, útočník si na můj účet nezavolá, protože sám nebude mít protokol "odorik" registrovaný u sebe na počítači. A pokud ano, tak si zavolá na svůj účet, což ale může i bez hackování.

[v6ak]

Chrome – to jsme se asi nepochopili. Pokud bychom chtěli odorik:// i pro Chrome, pak by AFAIK bylo potřeba na začátek přidat „web+“, aby to šlo z webu zaregistrovat. Je ale otázka, jestli to má smysl, muselo by se pro to objevit něco jako Telify.

Teď mluvím spíše o Firefoxu, kde je běžně možný i JS, ale s vhodně zamaskovaným odkazem by šlo udělat něco podobného i v Thunderbirdu:

Předpokládám, že budu oběť a budu mít nastaveno v jednom z nich odorik:// s Telify.

Otevřu ve Firefoxu stránku útočníka, ten mě přesměruje na odorik://900123456. (To 900… je taky podstatné.) Spustí se callback. Pokud mě nenapadne, co se děje (a věřím, že velkou část uživatelů to nenapadne…), zvednu hovor a volám na devítistovku. Ideálně ta devítistovka tam může pustit chvilku falešné zvonění a potom se mě snažit nějak tam zdržet.

Proto si myslím, že by měl uživatel potvrdit volání na dané číslo. A ošetřit CSRF a clickjacking.

V Thunderbirdu mohu dát odkaz, který se bude tvářit, že vede na web, ale povede jinam… Vím, je vhodné to kontrolovat, ale kolik uživatelů si toho všimne?

[xsouku04]

Česká čísla 900 jsou blokována. A Odorik není natolik rozšířený, aby byl významný mezinárodně.
Krom toho nemusí to uri být Odorik://cislo_kam_volat, ale můžete si jej klidně nastavit na MnouVymysleneUri://cislo_kam_volat

Jak registrovat protokol tak, aby se provedlo co požadujeme po kliknutí je popsáno např. zde
http://kb.mozillazine.org/Register_protocol

http://www.oak-wood.co.uk/faq/content/5 ... ndows.html

Teď už jen napsat Ruby script ve formě EXE souboru, který zavolá naše API.
http://watirmelon.com/2013/05/14/packag ... sing-ocra/

Proto si myslím, že by měl uživatel potvrdit volání na dané číslo.

To je snadné, stačí vybrat položku "open menu". Tak dostanete možnost potvrdit číslo ještě jedním klikem.

Jo, v Thunderbirdu to bohužel dělá takovou paseku.. Bezpečné to je jen pro Firefox. Vyzkoušet si to může každý, odeslat email s aktivním Telify sám sobě, doplněk vypnout a podívat se do tohoto přijatého mailu. Odkazy tam budou.

Mně se to nepodařilo. Mám Thunderbird 31.1.2 pro Linux. Rozhodně je ale jistější PIN do URI necpat a ošetřit vyvolání callbacku externí aplikací přes speciální protokol jak popisuji výše. Aplikace pak může použít běžně API.

[ivohajny]

Jak budu u pc, tak se podívám, jakou verzi mám já.
Tak mě napadá, nestálo by zda to, přidat tohle upozornění o bezpečnosti do wiki, kde jsou tyhle návody na pluginy?

[v6ak]

Česká čísla 900 jsou blokována.

Fajn, ale:
1. To blokuje pouze jeden útok. Neblokuje to třeba prozrazení telefonního čísla obdobným scénářem.
2. Blokaci devítistovek vítám, ale měla by to být až druhá linie obrany. Až se budou dělat nějaké změny, může takováto věc snadno padnout, aniž by si někdo plně uvědomil důsledky. Mimochodem, nedomyšlení důsledků se stalo i Googlu, naštěstí to odnesla pouze ta druhá linie obrany – dokud vám nikdo neukradne telefon (před opravou případně application-specific-password), jste v pohodě. Spoléhat se ale jenom na druhou linii obrany by se nevyplatilo.

Krom toho nemusí to uri být Odorik://cislo_kam_volat ale můžete si jej klidně nastavit na MnouVymysleneUri://cislo_kam_volat

Opět, to je až další linie obrany. Navíc s Telify je těžké udržet v tajnosti hodnotu „MnouVymysleneUri“, takže tam to nebude fungovat.

[xsouku04]

Je možný, ze dělám někde chybu, ale příchozí číslo je z outlooku to univerzální 910119999? Ze stolního telefonů je vše ok.
Toto jsou ID hovoru, je u nich ta sipka presmerovani.
109167309 -> 109167310
109167283 -> 109167284

Mělo by to být nyní opraveno. Můžete potvrdit?

[xsouku04]

Udělal jsem nové návody, jak použít Telify bezpečně, aby se nemohlo stát, že by se někdo dozvěděl Váš PIN.
Založil k tomu nové vlákno. http://forum.odorik.cz/viewtopic.php?f=14&t=3100