Az Bilinen Patikadan İlerlemek

Flutter tabanlı uygulamaları Burp Suite üzerinden keserek trafik analizi yapmak nispeten sorunlu oluyor. Bir miktar araştırmadan sonra yeni bir yöntem kullanmaya karar veriyorum. Bu yöntem, proxy tarafından takip edilebilen klon bir apk üretiyor. İşlemi tamamlıyor ve klon apk’yı test telefonuma yüklüyorum. Gerçekten de kısmî olarak trafiği kesip inceleyebiliyorum.

İlk odaklandığım alan parola yenileme özelliği. Burada trafiği kesince kullanıcı adının telefon numarası olduğunu görüyorum. Parola yenilemede kullanılan gsm parametresi de yine telefon numarası.

Bu çok ilginç geliyor. Çünkü telefon numarasını bildiğim bir hedefin hesabını yenilemek için onay SMS’ini kendi telefon numarama yönlendirebileceğim ve o hesabı ele geçirebileceğim anlamına geliyor. Acil koduyla bu durumu müşterimize bildiriyorum.