anonymcek
commented
4 years ago Dobry den,
Dakujeme za info, ked to mergneme tak squashneme commity a pojde to bez bearera. Kazdopadne, tento bearer je na testovacie prostredie(ziadne sms, setrime statny rozpocet), dostal sa na github, ale nepredstavuje ziadne riziko uniku informacii. Teda akurat by ste dosli mozno na moje telefonne cislo a to ze mam covid, co nieje uplne pravda. :)
mysho87
https://github.com/CovidWorld/ios/blob/31facbf8cce80553b2d0301a0974c6feb09244ec/Covid/Services/Networking/NCZIService.swift#L94
Dobrý deň, nechcem vám do toho nejako "mudrovať", lebo robíte dobrú prácu, ale osobne by som toto asi verejne do repozitára nedával... Nejedná sa o žiadu zraniteľnosť, ale minimálne je nepríjemné, že si viem teraz ako "tretia osoba" "kontrolovať" telefónne čísla, pretože vďaka tomu viem komunikovať s: https://t.mojeezdravie.sk/api/v2/sygic/send-otp
Keď by som chcel byť záškodník, tak mi ako prvé napadne oprieť to o nejaký zoznam t.č. a hľadať tak tie registrované, čiže pozerať kedy to povie niečo iné ako:
"description": "Neregistrované alebo nesprávne telefónne číslo. Prosím, kontaktujte Call Centrum 0800 221234."
Ak to následne odosiela ešte aj sms na overenie nájdeného čísla, tak by to reálne mohlo skončiť ako "sms bomber..." (ale to verím, že ošetrené je)
Neberte to prosím ako kritiku alebo niečo podobné. Ako som písal vyššie robíte to dobre, toto mi čisto len udrelo do oka a preto ma zaujímalo, či bol nejaký úmysel to takto mať... Prajem veľa šťastia s vývojom, nemáte to ľahké...