Как потерять деньги, синхроинизируя контакты со сторонними сервисами

в 13:15, , рубрики: andorid, android, Facebook, Вконтакте, синхронизация, Социальные сети и сообщества, метки: , , ,

Это будет очень короткий пост, о том, как можно потерять деньги, синхронизируя контакты с не подконтрольными вам источниками данных, такими как социальные сети.

В Android встроен очень удобный, на мой взгляд, механизм синхронизации данных с любыми сервисами, для которых кто-нибудь написал соответствующий адаптер. Например вы можете синхронизировать контакты с фэйсбуком, твиттером, линкедин и вконтакте. При этом все данные автоматически склеятся в один метаконтакт, который будет содержать фотографию, телефон и кнопки для открытия профиля в соответствующем приложении. Причем телефон (а также адрес электронной почты и другие данные) могут быть взяты из соответствующей социальной сети, в том виде, который указал пользователь. А значит эти данные вам неподконтрольны. Чем это может навредить?

Как потерять деньги, синхроинизируя контакты со сторонними сервисами

До сегодняшнего дня я с удовольствием пользовался синхронизацией с кучей сервисов. Ведь это так удобно: человек сменил телефон, записал новый номер в фэйсбуке — и он уже автоматически есть у вас; почти все контакты получили фотку или хотябы аватарку из той или иной социальной сети.

Что же изменило мое отношение к этой фишке?

Некоторое время я установил приложение для работы с Exchange — TouchDown. Приложение само по себе работает прекрасно и, среди прочего, умеет синхронизировать контакты из корпоративного exchange сервера с телефонной книгой. Не то чтобы мне было это очень нужно, но добавились и хорошо, я не стал обращать на это внимание, главное, что почта приходит.

И вот наконец драма. Сегодня я решил сделать SMS рассылку небольшой группе моих друзей, с предложением встретиться в баре за кружечкой пива. Причем некоторые из моих друзей являются также моими коллегами, а значит были в числе синхронизированных с Exchange контактов. TouchDown при синхронизации поместил их внутренние номера в мою телефонную книгу, с пометкой «рабочий». Номер телефонов на внутренней АТС у нас используются четырехзначные. Вы уже наверное догадались что случилось дальше. По необъяснимым для меня причинам, в рассылку были включены не мобильные телефоны, синхронизированные с google contacts, а служебные, четырехзначные телефоны. По правилам контент провайдеров (а зачастую короткие номера выкуплены ими), неверно написанный запрос оплачивается так же как верный, тоесть по сути любая смс на их номер оплачивается по полным тарифам. Мне повезло, в моем случае я ничего не заплатил, но будь у моего товарища внутренний номер вроде 4242, дело обернулось бы по другому.

Главное, что винить в сложившейся ситуации можно только себя. Все ПО делало ровно то, что я хотел, но получилось из этого в итоге то, что получилось.

Задумавшись об этом вопросе я решил провести ревизию телефонной книги, и обнаружил, например, несколько телефонов вида 7916 или 8905. То есть люди люди при регистрации в социальной сети не хотели указывать свой номер и указали только первые четыре цифры (код страны + код мобильного оператора), и этот номер попал в мою телефонную книгу.

Проведя еще одно исследование, я выяснил что facebook не позволяет вписать телефон неверного формата, а ВКонтакте позволяет указывать поле «телефон», что угодно, вплоть до букв. Такое поведение вполне может быть оправдано, если кто-то хочет например указать телефон с добавочным номером (+7 123 465 78 90 добавочный 1234) или «спросить Васю».

Минусом является то, что в текущей реализации нельзя указать, какие поля синхронизировать нужно, а какие нет. Я, например, с удовольствием оставил бы синхронизацию фото, и кнопки профилей на странице контакта, ну и последние твиты, а от синхронизации номеров телефона отказался. Теперь мне придется отказаться от синхронизации полностью.

Кстати это может быть новым вектором атаки. При взломе страницы, злоумышленники меняют её телефон на подконтрольный им короткий номер. Если больше ничего не сделано, то жертва может этого и не заметить. При этом существует вероятность, что кто-нибудь после синхронизации отправит на этот номер СМС.

Целью топика ставил поделиться не очевидным, по крайней мере для меня, опытом и предостеречь хабрапользователй от синхронизации со всем подряд. Об ошибках просьба сообщать в личку.

Автор: Yavanosta

Источник


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js