12:55
8/1/2011

Napisał do nas Karol Olszacki, który znalazł błąd w API Gadu-Gadu umożliwiający dostęp do live streamu dowolnego użytkownika GG — także tego, który nie ma nas na liście kontaktów. Karol zgłosił błąd do GG, jednak nie doczekał się odpowiedzi.

Prywatność użytkowników Gadu-Gadu

Kiedy użytkownik GG chce podejrzeć profil osoby, która nie ma go na liście kontaktów, zobaczy następujący komunikat:

Gadu Gadu - naruszenie prywatności

Gadu Gadu -- (nie)doskonała ochrona prywatności

Dbamy o prywatność naszych użytkowników, dlatego też profil XXX widoczny jest tylko jego znajomym – zaproś do znajomych

Można odnieść wrażenie, że Gadu-Gadu dba o naszą prywatność, ale jak wyjaśnia Karol, błąd w API serwisu gg.pl pozwala na pobranie live feedu dowolnego użytkownika, nawet jeśli ten nie ma nas na liście kontaktów. Wystarczy skorzystać z poniższego URL-a, (logując się uprzednio na gg.pl i uwierzytelniając żądanie zdobytym w ten sposób cookie):

http://www.gg.pl/api/ls/userChannel/uin,[NUMER-GG].jsonr?limit=[ILE-WPISÓW]&includeFlags=0

W odpowiedzi uzyskamy json livestreamu, czyli opisów i tzw. Pulpitu użytkownika.

Czy kiedykolwiek wcześniej słyszałeś o live-feedzie w GG? :>

Karol stworzył proste narzędzie obrazujące działanie błędu. Jak sugeruje jeden z naszych Facebookowych fanów, Miłosz Domoń, dla ciekawych wyników, spróbujcie wpisać 202 należący do Blipa.

Blip (202) na Gadu-Gadu

Blip (202) na Gadu-Gadu

Niestety Gadu-Gadu do tej pory nie zareagowało na zgłoszenie Karola, więc ten postanowił opisać całą sprawę na swoim blogu.

Kolejny taki błąd w Gadu-Gadu

Przypomnijmy, że kilka tygodni temu opisywaliśmy podobny błąd w telefonii Gadu Gadu, czyli Gadu Air – por. poważny błąd w Gadu-Air

Jak widać, błąd kontroli dostępu do danych, to coś, co zdecydowanie warto opanować, jeśli tworzy się aplikacje, zwłaszcza jeśli są one jednymi z popularniejszych w Polsce…


Przeczytaj także:



66 komentarzy

Dodaj komentarz
  1. Kusi mnie, żeby dodać do tego postu ankietę “Kto oprócz mnie też nie wie, czym jest live-feed w Gadu-Gadu”? :>

  2. Gdyby ktoś nie wiedział, co to livefeed / livestream (różne nazewnictwo pojawia się na stronach GG …), to jest to po prostu ‘historia opisów’ wybranej osoby – moje narzędzie w prosty sposób pozwala sprawdzić, jakie opisy posiadał dany kontakt (jest też data jego ustawienia).

  3. Dodaj ;) jestem przekonany, że liczby GG Network to fikcja (przynajmniej odnośnie GG.pl na pewno) a na głównej informują o 2 milionach userów ;)

  4. No właśnie, co to jest? Na linkowanej stronie wyświetla się kilka ostatnich opisów ustawionych na danym numerze i w zasadzie nic więcej.

  5. Dodaj :D Bo kurna tysz tego nie mam, a może to jakaś kasa za darmo czy coś ;)

  6. eee… tam. Niech da znać, jak zamiast opisów będzie można live rozmowę wyciągać. ;)
    skoro android przeciwdziała zdradzie małżeńskiej itp. to dlaczego by gg nie miało? ;)

  7. ciekawe czy tez dadza mu za znalezienie tego buga 10 czy 20 opisow graficznych ;]

  8. no a co więcej miałoby być? historia rozmów?

    Same opisy to nic wielkiego, ale daty już mogą się do czegoś przydać np. żeby sprawdzić kiedy ktoś był online. Nie spodziewałem się że w ogóle te daty są zapisywane.

  9. @180, a co będzie kiedy GG wprowadzi swoje archiwum on-line? a to będzie miało miejsce w ciągu kilku najbliższych miesięcy.

  10. Fajne, właśnie sprawdziłem swoje opisy z ostatnich 2 miesięcy… ;)

    PS. GyGy powinno się wziąć za jakąś sensowną robotę zamiast doklejać kolejne klocki do swojego kombajnu…

  11. @Qrix – jak to co będzie ? Będziesz mógł poczytać rozmowy dowolnej osoby ;]

  12. dodaj ankietę, bo ja też o tym czymś nie słyszałem :P w ogóle kiedy to zostało wprowadzone? ehh, jak miło jest nie mieć najnowszego komunikatora, zapchanego reklamami i wszelakim śmieciem… (polecam Pidgina :P )

  13. po sprawdzeniu kilku numerów dochodzę do wniosków, że nie wszystkie opisy są tam rejestrowane. Co więcej, w przypadku kilku numerów, które w tej chwili mają opis, miały także kiedyś ustawiony gg zwraca ‘ta osoba nigdy nie ustawiła opisu’. W przypadku mojego numeru pokazuje jakieś dwa czy trzy statusy tylko. Jeden z października i dwa z grudnia.

  14. Też mi narażenie prywatności użytkowników…
    W końcu opisy są publiczne, każdy może mieć do nich dostęp. Rozmowy między użytkownikami zakwalifikował bym dopiero do sfery prywatności… ehh…

    • @kura: to nie tylko opisy, to raz, a dwa, to są tam (w tym live-feedzie GG) również jakieśtam posty. Błąd pod kątem “wagi” można porównać do dostępu do czyjegoś Walla na Facebooku. Inna sprawa, że IMHO wszystko co ludzie publikują w internecie powinno być traktowane przez nich jako publicznie dostępne.

  15. @Karol Olszacki: małe sprostowanie, livestream to nie tylko opisy. http://www.gg.pl udostępnia tzw. Pulpit który jest czymś na wzór facebookowego walla, dostają się tam wpisy z aplikacji zintegrowanej z GG API, których używają nasi znajomi (funkcja dodana do API pod koniec zeszłego roku) dodatkowo dostają się tam opisy naszych znajomych.

  16. 66666 daje ciekawe wyniki :>
    Jakiś mały fizyk z niego. Zderzacz hadronów, obserwacje księżyca… normalnie SZATAN :D

  17. Piotrze – zgadza się, o ile wiedzą, że to jest publikowane – 99% ludzi używających GG nie wie, że te dane są udostępniane, a to jest główny argument dla którego ja osobiście się czepiam wszelkich niedoróbek w GG.pl

    • Qrix: nie zrozumieliśmy się, ja uważam, że powinni tak traktować wszystko co wrzucają do sieci — nawet jeśli nie dostają informacji na temat tego, czy będzie to udostępniane, czy nie ;)

  18. NK natomiast ma problemy z kontrolą dostępu do zdjęć klasowych. Widać jaki target taki poziom zabezpieczeń :)

  19. Wydaje mi się, że przypadki typu ‘ktoś w skrypcie nie ma opisu, a naprawdę ma’ i tym podobne mogą być powodowane tym, że wybrana osoba korzysta z komunikatora niekompatybilnego z nowszym protokołem GG (czyli nie może się kontaktować z osobami o nr. pow. 16 mln, nie może ustawiać dłuższych opisów itp.) – nie mam jednak pewności ;) Jeśli ktoś ma znajomych, używających GG 7.7 bądź np. Konnekta, to sugeruję sprawdzić czy jest tak jak napisałem wyżej…

    Co do wariacji z niektórymi numerami (m.in. botem blipa) – cóż, nie wygląda mi to na błąd po mojej stronie (parsera) ;) Gdby ktoś chciał uzyskać “czysty JSON”, ale bez logowania się na gg.pl itd. po swojej stronie, może wykorzystać ten skrypt: http://olszak.tk/gg/exploit?gg=%5Bnr-do-sprawdzenia%5D… A gdyby ktoś chciał użyć fragmentów tego skryptu, to proszę, tu znajduje się źródło (w PHP): http://olszak.tk/gg/exploit.src.txt :)

  20. ze to zostalo nazwane live-feed to nie mialem pojecia, ale na gg.pl wiele razy wczesniej bylem i uwazam ten serwis za ciekawy.

  21. A dla mnie to ciekawa wpadka gg. Znam osoby (kobiety), które w opisie dodają, że mąż wyjechał na tydzień, dwa i teraz są same w domu…

  22. było ostatnio na wykopie o tym całym ich “wallu” i o tym, że gg całkowicie ignoruje maile od ludzi. IMO ta funkcja nie powinna mieć miejsca, tym bardziej jeśli ludzie nie są o tym powiadomieni.

    http://www.wykop.pl/link/568009/gadu-gadu-przechowuje-bez-pytania-informacje-na-temat-uzytkownikow/

    • @m: w dzisiejszych czasach każdy chce zostać facebookiem…

  23. I trzymaj tu z takimi baranami z GG… ;] Jeszcze gorsze jest to, że nie odpowiadają na maile, czyli po prostu olewają ludzi. No cóż – ja już od dawna nie mam ich produktu na moim desktopie.

  24. @Karol Olszacki
    Potwierdzam to co mówisz, nigdy nie używałem nowego gadu-gadu, korzystam z Pidgina. Skorzystałem tylko dwa razy z WebGG i tylko te opisy są tam widoczne…

    Więc błąd dotyczy użytkowników GG8 i GG10

    czyli jednym slowem możemy się dowiedzieć też, kto używa oficjalnego bagna…

  25. @garhuy – nieprawda, używam pidgina i tlena 6 i moje opisy również są tam widoczne.
    @Piotr Konieczny – wiem, ale trochę niefajnie, kiedy zostaje nim bez mojej wiedzy

  26. A z moim numerem coś nie działa, obstawiam że czymkolwiek jest ten live-feed to współpracuje z oryginalnym klientem, ja korzystam z wtw2 i moich statusów nie widać.

  27. @Garhuy – zapomniałeś o WSZYSTKICH innych komunikatorach wspierających nowy protokół gg (numerki powyżej 16mln)

  28. Mysle ze za znalezienie takiego prostego buga dostanie w nagrode max 3 opisy graficzne;]

  29. @Torwald
    fakt, przeoczyłem

  30. @Garhuy, karol:

    Nieprawda – ja używam ekg, wpierw w wersji nie wspierającej nowego protokołu, teraz z nową biblioteką libgadu i wszystkie moje opisy są ;-)

  31. @Torwald
    Faktycznie zapomniałem, co nie zmienia faktu, że w moim przypadku opisy są tylko z sesji WebGG…

  32. Od tylu lat wiadomo na jakim poziomie stoi projekt gadu-gadu. O ile EKG zaczal lawine alternatywnych klientow i nie jestesmy skazani na sam program to ciagle dokucza nam protokol. Dziwi mnie fakt, ze do dzisiaj jedyna sensowna alternatywa jaka jest XMPP nie zdolala zgromadzic odpowiedniej masy krytycznej by ludzie porzucili protokol GG. Pewnej szansy upatruje w facebookowym chacie poniewaz jak wiadomo najciezej przekonac te masy dla ktorych przegladarka internetowa=google, ale jak wiadomo nadzieja matka glupich.

    • a: nie pamiętam, kiedy ostatnio rozmawiałem z kimś via GG. Wszyscy znajomi, z którymi chcę się komunikować via IM są (na szczęście) na Jabberze.

  33. @Piotr Konieczny: nie każdemu pasuje coś takiego jak facebook. Mnie osobiście ta moda bardzo irytuje. Pierwszy filtr, jaki dodałem do Adblocka to *facebook* i mam względny spokój.

    • @K: zgoda. są plusy i minusy facebooka. Trzeba sobie po prostu przekalkulować ;)

  34. oczywiscie, że GG zapisuje rozmowy. Zalogujcie sie na gg.pl, rozpocznijcie rozmowę ze swojego zwykłego komunikatora… to wyskoczy okienko jak chat na facebooku z Waszą rozmową… zapisują historię, ale nie pokazują jej… potem pewnie to jakoś wykorzystają afrykańczycy z GG ;)

  35. co w ogóle jest dziwne, aby korzystać z jakiejkowiek funkcji na gg.pl (przynajmniej z tych, z których próbowałem korzystać), trzeba aktywować konto – wyskakuje powiadomienie przy próbie chociażby rozpoczęcia rozmowy z kontaktem z listy. nie da się nawet wysłać kolejnego statusu na “walla”. dlaczego w takim razie opisy z klienta lecą tam z automatu i bez możliwości wyłączenia tego? jeśli nie aktywowałem konta, to jakim prawem w czymkolwiek tam uczestniczę i cokolwiek przechowują?

    @Lukasz – na niewebowe gg też otrzymasz wiadomości dopiero jak się zalogujesz, po czasie, wieć muszą być gdzieś przetrzymywane tak czy siak. pytanie czy są one czyszczone po dostarczeniu czy też archiwizowane.

  36. @m:
    ad1 zgadzam się i właśnie tego nie rozumiem – ja akurat nie wyrażam zgody na archiwizowanie tego

    ad2 będzie archiwum on-line, jeśli kogoś interesują przyszłe nowości: http://gadunews.pl/news.php?readmore=407

  37. @Qrix – nie wyobrażam sobie archiwum online i nie chcę tego. jeśli to wprowadzą, to po prostu zrezygnuję z gg i wszystkich kontaktów z nim związanych. nie będę ryzykował, że moje prywatne rozmowy walają się po jakichś chujowych serwisach.
    z drugiej strony może być też tak, że są archiwizowane już teraz, a my dostaniemy tylko dostęp do tego – jeśli nagle gdzieś na www ujrzę swoje rozmowy sprzed lat, to nie ukrywam, wkurwię się.

  38. @Piotr Konieczny: jak dla mnie co za dużo, to nie zdrowo ;) Nie widzę potrzeby informowania swoich znajomych o każdym szczególe mojego życia lub pisania czegokolwiek dla samego pisania. Tym sposobem to co istotne zapewne mi umyka, ale nie mam ochoty przewalania się przez tysiące bezsensownych informacji.

  39. I kolejna wpadka… 25 opisów graficznych dla znalazcy!

    Teoretycznie to niegroźne, przecież to publiczne dane, ale mimo wszystko głupio z ich strony że nie zpentestowali swojego API przed upublicznieniem :S

  40. po co im pentestowanie, wazne że mają w 3 cholery reklam a dzieciaki i inne barany z tego korzystają klokając we wszystko co się da kliknąć. Najbardziej rozbraja moja siostra, która nie chce innego komunikatora bo tej jest fajny. I koniec kropka. Co z tego że widzi na liście kontaktów 4 osoby otulone zewsząd reklamami…

    Idę o zakład że na bład nie odpowiedzą. Po co im taki niepotrzebny rozgłos ;/

  41. “Teoretycznie to niegroźne, przecież to publiczne dane, ale mimo wszystko głupio z ich strony że nie zpentestowali swojego API przed upublicznieniem :S”

    Jeśli ktoś ma zaznaczone “Pokazuj status tylko osobom z listy” to dane raczej nie są publiczne…
    Wpadka GG jak nic.

    P.S. Ten błąd może posłużyć do zebrania aktywnych numerków :) Takie numerki można później ładnie spamować.
    P.S.2. Ciekawe kiedy GG zamierza poprawić ten błąd?

  42. Dziwne, zarówno ja i moja małżonka używamy kadu (win/lin) z opcją opisów tylko dla znajomych – i nie widać w tej historii żadnego z naszych opisów. Może ktoś zrobi szybki test czemu tak się dzieje (ja niestety czasu nie mam)?

  43. “Jeśli ktoś ma zaznaczone “Pokazuj status tylko osobom z listy” to dane raczej nie są publiczne…”
    No właśnie, a z tego co wiem, to bezwarunkowo wszystkie opisy lądują na gg.pl. Jeśli się mylę, poprawcie mnie.

    “Też mi narażenie prywatności użytkowników…
    W końcu opisy są publiczne, każdy może mieć do nich dostęp. Rozmowy między użytkownikami zakwalifikował bym dopiero do sfery prywatności… ehh…”

    @kura, nie wszystkie opisy są publiczne. Jest taka opcja jak “pokazuj status tylko znajomym” oraz “ukrywaj przy opcji tylko dla znajomych”. Czyli może być tak, że chcesz pokazać status tylko wybranym osobom (nawet nie wszystkim znajomym). Mimo to na gg.pl trafiają WSZYSTKIE twoje opisy, więc wszyscy znajomi, a teraz także wszyscy nieznajomi, mogą je przeczytać. Jesteś pewien, że to nie jest narażenie prywatności? Tym bardziej, że nigdzie nawet nie ma informacji, że moje opisy są gdziekolwiek publikowane.

  44. No proszę kolejna dziura w API GG. coraz mniejsze mam mniemanie o nich..

  45. @Lukasz
    Facebook ze swoim XMPP też tak robi.
    Używam z niskich pobudek chatu właśnie przez ten protokół i gdy spróbuję wejść na stronę także dostaje moje zaległe wiadomości.
    Nie wiem (nie zagłębiałem się w temat) jednak nie wydaje mi się że xmpp samo w sobie zapisuje takie rozmowy. To może działać tylko w danym momencie.

  46. Czy te opisy można również odczytać, gdy ktoś nie ma nas na liście i ma włączoną opcję “pokazuj status tylko znajomym”? Lub gdy ma nas na liście, i odhaczoną jednocześnie funkcję “ukrywaj przy opcji tylko dla znajomych”?

  47. @Misiak: pewnie że tak, cała istota tego błędu to własnie to że da się tak zrobić :P
    Nigdzie nie podajesz swojego numeru, więc skrypt “nie widzi” czy Ty jesteś znajomym tej osoby, czy nie ;) Podajesz tylko nr. osoby, której opisy chcesz sprawdzić…

  48. Mam jeszcze jedno pytanie, być może ciut z innej beczki; ktoś wyżej wspomniał, że wpływ na to czy widzimy opis danej osoby ma wpływ wersja używanego gg przez delikwenta, a czy na to czy widzimy dane w serwisie gg.pl (czy ma nas na liście kontaktów) może mieć wpływ wersja używanego przez znajomego gg? lub rodzaj komunikatora (aqq, tlen itp)?

  49. Aby widzieć, czy ktoś ma nas na liście kontaktów na stronie gg.pl, ‘delikwent’ musi posiadać aktualną listę kontaktów na serwerze (no i Ty też). W GG 8 / 10, czy np. w WTW lista jest aktualizowana automatycznie, ale nie jest tak w każdym komunikatorze (aczkolwiek nie mam pewności co do GG 8 …)

  50. A jak wytłumaczyć sytuację, gdy ktoś ma mnie na liście kontaktów, rozmawiamy przez gg, a na stronie wywala informację, że dostęp tylko dla znajomych, hę?
    I jak wytlumaczyć sytuację odwrotną (sic!)?
    Dodam, że na pewno nie zależy to tylko od wersji komunikatora i jednoczesnie podważa założenie, że tylko osoby z listy kontaktów w normalnych warunkach widzą profil na gg.pl

  51. GG załatało dziurę, jednak nie raczyło o tym poinformować na maila tudzież na forum, albo gdziekolwiek w internecie (ich dev blog ma changelogi, nadałby się)…
    Cóż, chyba jednak tych graficznych opisów nie dostanę :P

    • Karol: czekamy na komentarz od GG. Odezwał się rzecznik i obiecał jeszcze dziś podesłać ich stanowisko. Błąd podobno jest już poprawiony.

  52. Witam, tak, potwierdzam, usunęliśmy lukę, dziękujemy za zgłoszenie i czekamy na kontakt od Karola. pozdrawiam, jarek rybus

  53. @# poproszę, by jednak nie akceptować mojego poprzedniego komentarza, tak jak i tego ;

    bot blipa się ocknął (a raczej, to ja się ocknąłem że blipa nie sprawdziłem :P) za późno, dostałem wiadomość od ^rybus.a ;D

  54. Dobrze, że te treści nie są udostępniane już.
    Pozostaje kwestia: czemu tak długo trzeba czekać na łatanie tego wszystkiego? Czy żeby ktoś w GG Network w ogóle się o tym dowiedział, musiało to trafić na Niebezpiecznik, a potem na Interię, VBeta i kilka innych serwisów? Swoją drogą – nie zdziwiło mnie to ;)

    Przynajmniej nie dali tym razem jakichś tam opisów graficznych wg. informacji Karola ;)

  55. Sory ale może mi ktoś wyjaśnić co to za włam. Przecież opis z definicji jest publiczny i nie dziwię się że nie reagowali. Teraz powinni ze względów wizerunkowych.

  56. Nigdzie nie ma informacji o tym, jakoby był to włam :P Wszędzie pojawiają się terminy typu “błąd” czy “luka bezpieczeństwa” (które są zresztą poprawne, bo to przecież żaden włam nie był)…

  57. […] Olszacki, który opisał ją na swoim blogu. Później zagrożenie zostało zasygnalizowane przez serwis Niebezpiecznik.pl. Luka była poważna – by uzyskać dostęp do wpisów na tzw. pulpicie serwisu, wystarczyło […]

  58. na dzien dzisiejszy, a mamy walentynki ten skrypt nie dziala, o ile mozna to nazwać skryptem. jedynym zwrotem jest You have no rights to access this resource!” interesuje mnie kilka innych parametrow w tym kodzie, ale niestety nie zdazylem ich sprawdzic bo zalatali dziurę

  59. http://www.gg.pl/api/ls/userChannel moze ktoś sproboje pogrzebać głębiej, moze sa tam jeszcze inne rzeczy, mamy api, potem kolejno ls i kanal uzytkownika, sporo mozliwosci tylko trzeba wiedzieć gdzie szukać

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: