Мегафон не спешит закрывать старые дыры в безопасности. Услуга ums мегафон


Мегафон запустил сервис UMS (Unified Messaging Solution), и бета-версию клиента в Google Play. Новый конкурент Whatsapp, Joyn, и IMO.IM?

image

Вчера Мегафон запустил новую услугу UMS (Unified Messaging Solution) для пользователей смартфонов. Сервис "позволяет общаться через популярные мессенджеры, социальные сети и электронную почту, получать и отправлять обычные SMS и MMS через единый интерфейс", о чем сообщает малоинформативная новость на сайте оператора.

Новый сервис объединяет в себе возможности услуги Портал сообщений (SMS+ и MMS+); мобильного мессенджера вроде Whatsapp, Viber, а также клиента для обычных мессенджеров и социальных сетей, например IMO.IM.

Вроде бы данный проект не имеет отношения к Joyn, международной инициативе операторов по запуску единого конкурента независимым (а главное — бесплатным) OTT-сервисам.

Что может UMS?
В новости также сообщается следующее:Приложение UMS будет распространяться через AppStore и GooglePlay бесплатно. Бета-тестирование сервиса продлится полгода, в течение которого обмен сообщениями между пользователями UMS тарифицироваться не будет.

Отправка SMS и MMS сообщений, а также график передачи данных при доступе к лентам сообщений в социальных сетях будет оплачиваться абонентом соглано тарифному плану.

Для пользования сервисом (messages.megafon.ru — при нажатии может возникнуть ошибка, тогда скопируйте адрес в строку браузера), можно установить клиент для Android. Интересно, что сайт предлагает также загрузить клиент для iOS, но кнопка загрузки неактивна (а в новости сообщается, что клиент для iOS появится в ближайшее время).
Возможности приложения для Android
В Google Play указано следующее:«UMS» – это концепция, подразумевающая работу с любыми видами сообщений

Услуга «UMS» — это средство общения с друзьями и знакомыми через мобильное приложение для смартфонов и веб-портал. Сервис объединяет в себе функции работы с сообщениями SMS/MMS, сообщениями Instant Messaging, чатами социальных сетей (доступно только через мобильное приложение), а также позволяет работать с лентами новостей и Email (доступно только через веб-портал).

Текстовое и/или мультимедийное сообщение, отправляемое вами из мобильного приложения или веб-портала, является UMS-сообщением.

Подключив Услугу и установив на своем телефоне приложение или воспользовавшись веб-порталом, вы сможете:

  • хранить и просматривать SMS/MMS-переписку;
  • отправлять SMS и MMS-сообщения;
  • получать и отправлять Email;
  • установить автоответ на входящие SMS/MMS-сообщения;
  • установить переадресацию входящих SMS/MMS-сообщений;
  • установить подпись к отправляемым SMS/Email;
  • получать SMS-уведомления о входящих Email;
  • настраивать фильтрацию входящих сообщений;
  • просматривать ленты социальных сетей;
  • публиковать сообщения в социальных сетях;
  • хранить контакты телефонной книги и аккаунтов социальных сетей;
Полная информация по услуге доступна на сайте: messages.megafon.ruНа странице новости также опубликован flash-ролик, который призван рассказать об услуге больше. Ролик на редкость невнятный, низкого качества (маленькое разрешение, текст размыт), и малоинформативный. Он просто не соответствует обычно высокому качеству промо-материалов Мегафона.

В течение нескольких минут интересующиеся могут посмотреть быстрое слайд-шоу из различных картинок и заголовков. Например, из раздела «Тарификация» сложно понять детали тарификации услуги. В ролике мало текста, слишком много двигающихся картинок. Из-за размытости, сложно разобрать, что показано на скриншотах. Помогает ли он узнать об услуге больше, или только запутывает?

Маркетологи Мегафона — если прочитаете это — посмотрите вот этот ролик, он сделан гораздо лучше и информативней. В качестве просьбы: как вашему клиенту, хотелось бы видеть такие ролики в будущем.

Услугу уже обсуждают на форуме Мегафон:

«S_S старожил Re: Услуга „UMS“?? (от 10/12/2012 17:08:07) [353211] А где-то есть подробное (у условиями, с тарифами) описание этой услуги у Мегафона? p.s. в АС привычно ответили, что ничего не знают, услуги UMS в Мегафоне нет. »
Какие перспективы?
Учитывая недавнюю новость про то, что под крылом GSM Assosiation операторы объединяются для запуска Joyn, конкурента всем независимым приложениям для общения через интернет (сюда можно включить популярные Whatsapp, Viber, IMO.IM итд.), появление UMS в Мегафоне выглядит немного странно. Не лучше ли было сразу запустить Joyn?

С другой стороны, Мегафон известен как оператор, который одним из первых запускает действительно инновационные сервисы (VoIP-сервис Мультифон с возможностью SIP-подключения есть только у Мегафона, а возможность управления смс через интернет в виде услуги SMS+, если не ошибаюсь, тоже появилась первой у Мегафона). Еще один сервис уж точно никому не помешает, а некоторым может и пригодиться.

Вот здесь еще немного информации: «МегаФон» начинает играть на OTT-рынке. Запустив UMS

Будет ли востребован UMS?

Судя по приведённой выше цитате, этап бета-тестирования завершится через полгода, и сообщения между клиентами UMS могут начать тарифицировать. Отправка SMS сообщений через UMS и сейчас осуществяется платно согласно тарифному плану, без каких-либо скидок. Пока сложно сравнить, как новое приложение будет использовать батарею — в частности, Скайп для мобильных известен своей ресурсоемкостью.

На мой взгляд, простые сервисы вроде Whatsapp пока выглядят привлекательнее.

Что вы думаете? Сервис нужный? Стоило ли его запускать? Какое будущее его ждёт?

geektimes.com

«МегаФон» представляет UMS

Компания «MegaLabs» и Сибирский филиал ОАО «МегаФон» запустил в тестовом режиме новую услугу Unified Messaging Service (UMS). Благодаря UMS абоненты смогут бесплатно обмениваться сообщениями внутри сервиса, настраивать переадресацию и «черные списки» для входящих SMS, общаться в социальных сетях и чатах, а также пользоваться множеством других бесплатных функций.

UMS представляет собой решение для пользователей смартфонов, которые хотят в одном приложении для смартфона получить доступ к SMS, MMS, интернет-чатам, социальным сетям и электронной почте. Для работы с сервисом абоненту необходимо устройство, работающее под управлением ОС Android и iOS, а некоторые дополнительные функции настраиваются в удобном web-интерфейсе программы.

Бесплатные SMS и MMS. Пользователи UMS для смартфонов Android и iOS могут бесплатно* отправлять SMS- и MMS-сообщения другим абонентам услуги «UMS». Даже если у другого пользователя программа UMS на смартфоне не будет запущена, он все равно получит сообщение на свой телефон обычным способом.

Андроид1.jpg

Переадресация SMS-сообщений и «черный список». Клиент UMS может настроить переадресацию или отправку копий входящих SMS-сообщений на любой другой мобильный номер. При этом доступны различные условия переадресации: номера отправителей, дни недели и время дня. Кроме того, в web-интерфейса UMS предусмотрена настройка автоматического ответа на SMS-сообщение и блокировка входящих сообщений от нежелательных отправителей («черный список»).

Андроид2.jpg

Архив SMS-сообщений. При первом запуске приложение UMS будет сохранять на своем сервере входящие и исходящие SMS-сообщения (кроме входящих SMS с коротких номеров). Таким образом, при установке программы UMS на новое устройство абонент автоматически получит свой архив SMS-переписки с предыдущих гаджетов.

Популярные чаты и социальные сети в одном приложении. Приложение UMS также выступает универсальным клиентом для популярных социальных сетей и чатов: Twitter, Facebook, ВКонтакте, Одноклассники, Агент@Mail.ru, ICQ, Google Talk. Пользователь UMS сможет просматривать общую новостную ленту своих друзей из нескольких социальных сетей в одном окне и отправлять сообщение в несколько социальных сетей одновременно.

Ай1.jpg

Уведомления об электронной почте. Сервис UMS может собирать письма из нескольких почтовых ящиков и хранить их полные или неполные копии на своем сервере. При этом пользователь может настроить SMS-уведомления о новых е-mail — такая функция будет работать даже без установки приложения UMS на смартфон и доступна на любом телефоне, даже не имеющем выход в интернет.

Ай2.jpg

Возможности платформы UMS:

SMS/MMSАдресная книга (контакты)Социальные сети/чатыЭлектронная почта

Отправка сообщений из приложения на телефоне или web-интерфейса пользователям UMS (бесплатно)

Отправка сообщений на номера мобильных сетей (согласно тарифу)

Переадресация, дублирование SMS-сообщений, автоответ, «черный список» (согласно тарифу)

Хранение архива SMS-сообщений на сервере

Хранение контактов на сервере

Объединение телефонных номеров и учетных записей социальных сетей

Единый клиент для социальных сетей (Twitter, Facebook, ВКонтакте, Одноклассники)

Единый клиент для сервисов чата (Агент@Mail.ru, Google Talk, Чат ВКонтакте, Чат Одноклассников)

Одновременная отправка сообщений/фотографий в несколько социальных сетей

Импорт электронных писем из популярных почтовых систем (gmail, mail.ru, yandex)

SMS-уведомления о новых письмах на почтовом ящике

* Бесплатный обмен SMS/MMS-сообщениями между пользователями UMS действует в период тестовой эксплуатации.

www.r19.ru

Мегафон не спешит закрывать старые дыры в безопасности / Хабр

Не так давно, netAn опубликовал интересную статью описывающую проблемы безопасности системы Мегафон — Сервис-гид.

По прошествии времени, мы решили проверить, насколько Мегафон заботится о безопасности личных данных своих клиентов, и провели небольшое тестирование продуктов авторизации в «сервис-гид». Результат не увенчался успехом, Мегафон действительно исправил ошибку, в которую их тыкнуло хабро сообщество, но пойти дальше и проверить всю систему они почему-то не решились.

Не буду повторяться, что можно сделать со счетом абонента имея доступ в «сервис-гид» (см. статью) перейду сразу к сладкому.

Как показал анализ, в Мегафоне, существует внутренний гейт, с которым соединятся и messages.megafon.ru, moscowsg.megafon.ru и многие другие приложения для авторизации абонентов. Используя мобильные приложения «UMS» и «Мегафон Диск» можно подбирать пароли с высокой скоростью за счет отсутствия необходимости в проведении полной процедуры аутентификации.

Об этой проблеме было отправлено письмо в службу технической поддержки абонентов Мегафон несколько недель назад, но как ни странно она не отреагировала на наше письмо. На момент 11 декабря ничего не исправлено. Для анализа трафика мобильного приложения используем зло mitmproxy А теперь подробнее о каждом.

«UMS»
Пример HTTP запроса и ответов при авторизацииRequest: POST https://auth.messages.megafon.ru:15020/tellin/login.do Host: auth.messages.megafon.ru:15020 x-UserAgent: iPhone|iPhone0.0|iPhone OS 0.0.0|0.0.0.0|aVBob25lIDRT|aVBob25l Accept-Encoding: gzip Content-Type: text/xml;UTF-8 Accept-Language: zh-CN,en,* Cookie: JSESSIONID=000000000000000000000000 Content-Length: 344 Connection: close Proxy-Connection: close User-Agent: UMS 0.0.0.0 (iPhone; iPhone OS 0.0.0; ru_RU) XML-like data <?xml version='1.0' encoding='UTF-8'?> <root> <user>+7926000000</user> <random>HUAWEI RCS0000-00-00</random> <secinfo>мойкрутойпароль</secinfo> <version>0.0.0.0</version> <clienttype>2010000</clienttype> <pintype>0</pintype> <requestip>653.289.953.846</requestip> <usertype>0</usertype> <deviceID>NvQPSFL3nclMuRJbc8KjjgIBn6CVg49mpzNZoJ4LK0n2OQDpcEENuly9FVK5</deviceID> </root> 1) Успешная авторизация Response: Raw [ base64 длинной 3680 байт ] 2) Ошибка авторизации Response: <root><return>200050401</return><desc>The user information is incorrect.</desc></root>
«MegaDisk»
Пример HTTP запроса и ответов при авторизацииRequest: POST https://oauth.megafon.ru/login?oauth_token=92cd604414ba74ff7a3e Host: oauth.megafon.ru Accept-Language: ru User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS 0_0_0 like Mac OS X) AppleWebKit/0.0.0 (KHTML, like Gecko) Mobile/0B Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Referer: https://oauth.megafon.ru/login Content-Type: application/x-www-form-urlencoded Connection: keep-alive Proxy-Connection: keep-alive Cookie: ID=IGmYDY6caHVX\nsFELs55iR7wPyhSMvQHc Content-Length: 141 Origin: https://oauth.megafon.ru Accept-Encoding: gzip, deflate URLEncoded form version: 1 token: HkyOryj8L0nAsL7AMgd2JjqjaO language: ru validateform: QR3g4qMeSF0tPHT9COXCKD4guGeYdwHGFBgrPi1eHr msisdn: 7926000000 p: мойкрутойпароль login: LoginRU 1) Успешная авторизация Response: HTTP код 302 2) Ошибка авторизации HTTP код не 302

Проблемы в этих приложениях две:

  1. Получая информацию об успешной верификации пары номера телефона и пароля мы не продолжаем дальнейшую авторизацию и тем самым не идет SMS информирование абонента об авторизации в UMS
  2. По умолчанию в UMS отключено SMS информирование при авторизации через мобильное устройство

Варианты решения:

  1. Использовать шифрование на первом этапе авторизации
  2. Показывать капчу
  3. Отправление SMS уведомление при попытки авторизации
  4. Использование буквенных паролей

Проверки осуществлял используя в качестве цели свой собственный номер телефона.

habr.com


Смотрите также