Ik ben geen hacker, en ik ben ook niet een van die ethische pennentesters. Ik nam een kijkje op een aantal van die online cursussen en besefte dat het allemaal Kali hacken windows dozen., Ik had niet het geduld om 100 uur lang iemand te vertellen hoe ik in een windows doos moest inbreken. Dat is zo saai.
Dat gezegd hebbende, ik besta in een vreemde wereld, een wereld waar ik naar gegevens zoek, die gegevens verzamel, en ik probeer het te begrijpen. Er is een deel van het dat is hacken, en een ander deel dat is Data Science … ik denk dat ik het noem, “op zoek naar de snelkoppelingen die me de kaart geven van wat de ingenieur of het bedrijf deed”., Die snelkoppelingen stellen me in staat om de gegevens te pakken die ik zoek, om ze in stukken te hakken, het afval weg te gooien, en erachter te komen wat er echt gebeurt, zowel met de gegevens als met het bedrijf. Misschien heeft het bedrijf of de app een fout gemaakt met hun API en gebruiken ze geen tokens bij het maken van een verzoek. Misschien hebben ze geen certificaat pinning gebruikt en kan ik gewoon hun netwerkverkeer bekijken via een proxy. En dus zit ik, en ik kijk, en soms probeer ik te zien wat er van komt. De magie zegt vaak: “wat gebeurt er als ik dit doe?” Die eenvoudige relingen die 99 houden.,9999% van ons op de weg zijn, echt, slechts een meter hoog.
maar deze “hack”, als je het zelfs een” hack ” kunt noemen, is zo eenvoudig. En misschien is dat het juist, we raken zo verstrikt in de twee of drie keuzes, dat we ons niet realiseren dat er een hele andere wereld is als we gewoon een beetje onderzoeken, een andere vraag stellen, achterover leunen en kijken. Dat is het geheim.
Ok, dat is veel opbouw voor zo ‘ n eenvoudig ding… maar ik heb een punt. Daar kom ik later op terug.
tijdens de vlucht, laten we verbinding maken met de GOGOINFLIGHT SSID.,
vervolgens moet u naar de gogoinflight webpagina worden geleid. Zo niet, dan moet je naar de standaard router te navigeren. Hier kunnen we 172.19.131.2 gebruiken (dit ip staat in de verbindingsinfo). Als alternatief kunt u gebruik maken van “airbone.gogoinflight.com”.
daar gaan we. Ja, Het is leuk je te zien. Scroll naar beneden en maak verbinding met de T-Mobile check-in link. Klik erop., Het is prima dat je geen T-Mobile nummer hebt. Dat leg ik zo uit.
komt dichterbij. Druk op “Laten we gaan”. En, je hoeft niet echt nodig om wifi bellen inschakelen. Wel als je echt wilt bellen. Doe anders geen moeite.,
laten we dat invullen . En hier is onze eerste “kortere weg”. De ontwikkelaar gebruikt hetzelfde voor elke aanvraag die we gaan doen. Ooph, maar oké. Misschien werden ze waarschijnlijk geduwd door de luchtvaartmaatschappij en T-Mobile om het zo snel mogelijk gedaan te krijgen. Maar misschien ook niet.,
laten we nu een telefoonnummer invoeren. Onbeperkt. Laten we er een paar proberen en na elke keer, raken we “klaar om op te stijgen”. Hier, we gebruiken dezelfde snelkoppeling links door de ontwikkelaar. Dat is niet vernieuwend.
503-851-2214 … nope
503-851-2215 … nope
503-851-2216 … nope
503-851-2217 … nope
503-851-2218… BINGO!
Sorry als dat je nummer is en ik heb het net gepost op Medium.,
that. ligt. het.
dus wat betekent dit?
bovenop elk vlak bevindt zich een schotelantenne. Dat gerecht heeft verschillende graden van vrijheid en stuurt een zeer kleine kleine hoeveelheid gegevens om te controleren welke vervoerder uw telefoonnummer behoort tot. Ongeveer 40 bits.
denk er eens over na, je zit in een vliegtuig dat 30.000 voet in de lucht ligt, je hebt geen ontvangst., Hoe wordt van u verwacht dat u uw telefoonnummer bevestigt zonder ontvangst, zonder een e-mailadres op te geven? Dat kan je niet, maar dit is niet het moment voor dat convo.
dus het vliegtuig stuurt een signaal naar de satelliet, de satelliet straalt het naar de aarde, en dan naar een API ergens dat het verzoek controleert om te zien tot welke drager het behoort. U kunt het zelf proberen met deze carrier lookup services. Im gissen hier, maar het meest waarschijnlijk, het verzoek zal een waar of onwaar retourneren., Indien ingeschakeld krijgt u gratis internet, een gelogde sessie en een willekeurig gegenereerde url met een token in de url die na een bepaalde tijd verloopt.
dus waarom doe je het op deze manier? Omdat satellietcommunicatie erg duur is. Alaska en T-Mobile proberen doelbewust die bandbreedte te beperken om de geldigheid van het opgegeven telefoonnummer te controleren. Ik gebruikte deze methode gisteravond en ik gebruikte de gratis wifi voor meer dan een uur sinds de vlucht was 2,5 uur. Dat betekent dat het token ook niet verloopt.
dus, wat is het grappigste deel hiervan?, Gisteravond keek ik of er berichten over waren. Ik vond maar één artikel en die vondst werd begraven op de bodem in Forbes magazine. Ja, Forbes vanaf maart 2017. De auteur was zo dicht bij de uitvoering ervan.
volgens het artikel,
u kunt elke smartphone gebruiken om toegang te krijgen tot de T-Mobile-promotie. De vervoerder lijkt het telefoonnummer niet te valideren tegen de SIM, dus dit betekent dat het invoeren van een geldig T-Mobile-nummer zal resulteren in de mogelijkheid om toegang te krijgen tot de service.
maar hij heeft het niet gedaan!, Hij had een T-mobiel nummer en gebruikte dat in plaats daarvan. Toen de auteur sprak met een senior T-Mobile vertegenwoordiger,
T-Mobile verzekerde me dat ze bepaalde validatiecontroles hadden om te voorkomen wat ik net beschreef, maar ze gaven toe dat er nog steeds enkele problemen waren (net als Gogo toen ik met hen sprak).