Este bug permite ver todos los sms que han sido enviados desde el portal de Movistar Colombia (movistar.co).
Movistar tienen una aplicación que permite enviar sms desde Internet, lo que en principio es excelente, pero ustedes se han preguntado: ¿Quedan registrados los mensajes? ¿Alguien, aparte del destinatario, puede ver el contenido del sms?
Pues bien, sí, los mensajes se almacenan y también pueden ser vistos por cualquier persona, esto es algo delicado, puesto que la mayoría de personas pueden incluir información confidencial o privada en el sms.
La aplicación en sí está en “http://mundomobile.com/”. ¿Por qué digo en sí? Porque el sitio de Movistar lo que hace es llamar por medio de un iframe a varios archivos que están en el sitio anteriormente mencionado, la aplicación se ve de esta forma:
Se ve bastante bien, pero luego de un tiempo, de observar el código fuente, nos damos cuenta de varias cosas, por ejemplo que la aplicación está en otro host. Aquí podemos ver el iframe:
Ahora vamos a dar una vuelta por el sitio y luego de curiosear un poco nos encontramos con esto:
Después de revisar todos los archivos que habían, revisé más a fondo el folder “logs”, que contiene nada mas y nada menos que todos los sms enviados desde movistar.co:
Ahora, el siguiente paso era saber si esos sms eran “reales”: fui nuevamente a movistar.co y envié un mensaje de prueba. Si luego de eso lo podía ver en un log significaba que todos esos .txt eran sms enviados por otras personas; pues bien, escribí el sms.
El sms fue enviado a un número nulo, puesto que solo es una prueba, aun así funcionó de maravilla.
Perfecto. ¡Se envió correctamente! Ahora sólo faltaba buscarlo en los logs. Luego de buscar el archivo, busqué el mensaje, y así fue, allí estaban los datos que yo había introducido.
En las condiciones de uso de dicha aplicación se dice que el usuario debe evitar enviar material confidencial, entre otros, aunque es verdad, no encontré nada “confidencial”. Lo único que encontré fue a novias furiosas con sus parejas y otras personas que insultaban por ese medio. Sin embargo, el problema está en que esa información NO debe ser visible a cualquier persona, creo que ese tipo de “fallas” no deberían existir.
Aprovecho para enviarle un saludo a Dylan Irzi y a todo el equipo de WebSecurityDev.com
SoftSec404 – Soft_404.
