ich bin kein hacker, und ich bin nicht einer von denen ethische pen Tester, entweder. Ich habe mir einige dieser Online-Kurse angesehen und festgestellt, dass es sich um Kali-Hacking-Windows-Boxen handelt., Ich hatte nicht die Geduld, 100 Stunden von jemandem zu sitzen, der mir sagte, wie man in eine Windows-Box einbricht. Das ist so langweilig.
Das heißt, ich existiere in einer fremden Welt, in der ich nach Daten suche, diese Daten sammle und versuche, einen Sinn dafür zu finden. Es gibt einen Teil davon, der Hacking ist, und einen anderen Teil, der Data Science ist… ich denke, ich nenne es „auf der Suche nach den Verknüpfungen, die mir die Karte geben, was der Ingenieur oder das Unternehmen getan hat“., Mit diesen Verknüpfungen kann ich die gesuchten Daten abrufen, hacken, den Müll wegwerfen und herausfinden, was wirklich passiert, sowohl mit den Daten als auch mit dem Unternehmen. Vielleicht hat das Unternehmen oder die App einen Fehler mit ihrer API gemacht und sie verwenden keine Token, wenn sie eine Anfrage stellen. Vielleicht haben sie kein Zertifikat-Pinning verwendet und ich kann ihren Netzwerkverkehr einfach über einen Proxy beobachten. Und so sitze ich und schaue zu, und manchmal versuche ich zu sehen, was daraus wird. Oft sagt die Magie nur: „Was passiert, wenn ich das tue?“ Diese einfachen Leitplanken, die 99 halten.,9999% von uns auf der Straße sind wirklich nur 3 Fuß hoch.
Aber dieser „Hack“, wenn man ihn überhaupt“ Hack “ nennen kann, ist so einfach. Und vielleicht ist es genau das, wir sind so in die zwei oder drei Entscheidungen verwickelt, dass wir nicht erkennen, dass es eine ganz andere Welt gibt, wenn wir nur ein wenig sondieren, eine andere Frage stellen, uns zurücklehnen und zuschauen. Das ist das Geheimnis.
Ok, das ist eine Menge Aufbau für so eine einfache Sache… aber ich habe einen Punkt. Darauf komme ich später.
Verbinden wir uns im Flug mit der gogoinflight SSID.,
Als nächstes sollten Sie zur gogoinflight-Webseite weitergeleitet werden. Wenn nicht, müssen Sie zum Standardrouter navigieren. Hier können wir 172.19.131.2 verwenden (diese IP ist in den Verbindungsinformationen enthalten). Alternativ können Sie „airbone.gogoinflight.com“.
Los geht ‚ s. Warum ja, es ist schön, dich zu sehen. Scrollen Sie nach unten und stellen Sie eine Verbindung zum T-Mobile-Check-in-Link her. Klicken Sie darauf., Das ist in Ordnung, dass Sie keine T-Mobile-Nummer haben. Ich werde das in ein bisschen erklären.
Getting näher. Hit „Lass uns gehen“. Und Sie müssen WiFi-Anrufe nicht wirklich aktivieren. Sie würden, wenn Sie tatsächlich Anrufe tätigen möchten. Ansonsten nicht stören.,
Füllen wir das aus . Und hier ist unsere erste „Verknüpfung“. Der Entwickler verwendet dasselbe für jede Anfrage, die wir stellen werden. Ooph, aber OK. Vielleicht wurden sie wahrscheinlich von der Fluggesellschaft und T-Mobile dazu gedrängt, es so schnell wie möglich zu erledigen. Dann wieder, vielleicht nicht.,
Geben wir nun eine Telefonnummer ein. Beliebig. Lassen Sie uns ein paar versuchen und nach jedem Mal, schlagen wir „Ready For Takeoff“. Hier verwenden wir dieselbe Verknüpfung, die der Entwickler hinterlassen hat. Das erneuert sich nicht.
503-851-2214… nein
503-851-2215… nein
503-851-2216… nein
503-851-2217… nein
503-851-2218 … BINGO!
Sorry, wenn das ist Ihre Nummer, und ich postete es auf Mittel.,
Das. is. es.
Also, was bedeutet das?
Auf jeder Ebene befindet sich eine Satellitenschüssel. Dieses Gericht hat mehrere Freiheitsgrade und sendet eine sehr kleine Datenmenge, um zu überprüfen, zu welchem Träger Ihre Telefonnummer gehört. ~40 bits, geben oder nehmen.
Denken Sie darüber nach, Sie befinden sich in einem Flugzeug, das 30,000 Fuß in der Luft ist, Sie haben keinen Empfang., Wie wird von Ihnen erwartet, dass Sie Ihre Telefonnummer ohne Empfang bestätigen, ohne eine E-Mail-Adresse anzugeben? Nun, das kannst du, aber das ist nicht die Zeit für diesen Konvoi.
Das Flugzeug sendet also ein Signal an den Satelliten, der Satellit sendet es auf die Erde und dann an eine API irgendwo, die die Anforderung überprüft, um zu sehen, zu welchem Träger es gehört. Sie können es selbst mit diesen Carrier-Lookup-Diensten versuchen. Ich vermute hier, aber höchstwahrscheinlich wird die Anfrage True oder False zurückgeben., Wenn dies zutrifft, erhalten Sie kostenloses Internet, eine protokollierte Sitzung und eine zufällig generierte URL, die ein Token in der URL enthält, das nach einer festgelegten Zeit abläuft.
Warum also so? Weil Satellitenkommunikation sehr teuer ist. Alaska und T-Mobile versuchen absichtlich, diese Bandbreite zu begrenzen, um die Gültigkeit der angegebenen Telefonnummer zu überprüfen. Ich habe diese Methode letzte Nacht angewendet und das kostenlose WLAN mehr als eine Stunde lang genutzt, da der Flug 2,5 Stunden dauerte. Das bedeutet, dass das Token auch nicht abläuft.
Also, was ist das Lustigste daran?, Letzte Nacht habe ich nachgesehen, ob es irgendwelche Beiträge dazu gab. Ich habe nur einen Artikel gefunden und dieser Fund wurde unten im Forbes-Magazin vergraben. Ja, Forbes von März 2017. Der Autor war so nah dran, es umzusetzen.
Gemäß dem Artikel
Sie können jedes Smartphone verwenden, um auf die T-Mobile-Aktion zuzugreifen. Der Mobilfunkanbieter scheint die Telefonnummer nicht anhand der SIM-Karte zu validieren, was bedeutet, dass die Eingabe einer gültigen T-Mobile-Nummer zum Zugriff auf den Dienst führt.
Aber er Tat es nicht!, Er hatte eine T-Mobile-Nummer und benutzte diese stattdessen. Als der Autor mit einem hochrangigen T-Mobile-Vertreter sprach,
T-Mobile versicherte mir, dass bestimmte Validierungsprüfungen durchgeführt wurden, um das zu verhindern, was ich gerade beschrieben habe, aber sie gaben zu, dass es immer noch einige Probleme gab (wie Gogo, als ich mit ihnen sprach).