search

andry08 / ArubaOTP-seed-extractor

Extract TOTP seed instead of using ArubaOTP app
MIT License
75 stars 9 forks source link

Aruba PEC - TOTP #20

Open PataviniMa opened 1 year ago

PataviniMa commented 1 year ago

Ciao e complimenti per lo script in python, mi è stato utilissimo (anche io non tollero l'idea di avere 4 app che fanno la stessa identica cosa). Di recente Aruba ha introdotto la 2FA anche per la PEC, e a giudicare dalla forma (8 cifre), sembra proprio che la minestra (aloritmo di hashing, etc) sia sempre la stessa. Tuttavia, l'associazione con il dispositivo mobile non avviene inquadrando un QR code, bensì premendo un pulsante "associa questo dispositivo" direttamente dall'app mobile (sulla quale si era preventivamente effettuato il login). Credi sia possibile estrarre il secret anche in questo caso?

andry08 commented 1 year ago

Purtroppo non ho una PEC su aruba quindi non posso provare personalmente, ma guardando qualche video su come usare la 2FA per la PEC sembra esserci solo un meccanismo di push notification, senza alcun accenno ad un codice TOTP, ma non usando l'app arubaOTP temo che sia comunque fuori dallo scope del progetto

PataviniMa commented 1 year ago

In realtà convivono entrambe le cose: è possibile usare le push notifications per la 2FA, oppure è possibile generare la TOTP ed inserirla manualmente. Cioè, non hanno fatto neanche lo sforzo di riutilizzare la stessa app (arubaOTP), preferendo invece incorporare la stessa identica funzionalità in un'app separata (arubaPEC). In pratica, se io non sono interessato a leggere la PEC da cellulare (mando sì e no una pec all'anno), devo comunque tenere installata un'app completamente inutile. Una scelta veramente tremenda.

andry08 commented 1 year ago

Capisco, come detto appunto non riesco a provarlo in quanto non ho una pec con aruba, nel caso qualcuno riuscisse ad implementarlo se vuole può aprire una pull request. Lascio l'issue aperto per eventuali avventurieri che volessero cimentarsi ;)

KiLiMaToS commented 10 months ago

Per un attimo non credevo fosse possibile farlo... ora ho trovato il tuo script. Grazie. Mi daresti una mano? Ho installato le dipendenze ma quando invio il comando ricevo il seguente errore:

`python : Traceback (most recent call last):
In riga:1 car:1
+ python ./scripts/main.py extract 31xxxxxxxxxxxxxx81 -q
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (Traceback (most recent call last)::String) [], RemoteException
    + FullyQualifiedErrorId : NativeCommandError

  File "C:\Users\andre\Desktop\ArubaOTP-seed-extractor-master\ArubaOTP-seed-extractor-master\scripts\main.py", line 90, in main
    extract(args.activation_code, args.only_output, args.show_qr)
  File "C:\Users\andre\Desktop\ArubaOTP-seed-extractor-master\ArubaOTP-seed-extractor-master\scripts\main.py", line 22, in extract
    seed, otp_type, digits, period, counter = extractor.request_otp(activation_code)
                                              ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
  File "C:\Users\andre\Desktop\ArubaOTP-seed-extractor-master\ArubaOTP-seed-extractor-master\scripts\request.py", line 27, in 
request_otp
    raise Exception('Seed request failed: [{}] {}'.format(resp1['returncode'], resp1['description']))
Exception: Seed request failed: [0007] Operazione non valida per stato licenza`
KiLiMaToS commented 10 months ago

Risolto, era passato troppo tempo ed era scaduto il codice... provato in questo istante e funziona alla grandissima! God Save @andry08

dharmann commented 2 weeks ago

In realtà convivono entrambe le cose: è possibile usare le push notifications per la 2FA, oppure è possibile generare la TOTP ed inserirla manualmente. Cioè, non hanno fatto neanche lo sforzo di riutilizzare la stessa app (arubaOTP), preferendo invece incorporare la stessa identica funzionalità in un'app separata (arubaPEC). In pratica, se io non sono interessato a leggere la PEC da cellulare (mando sì e no una pec all'anno), devo comunque tenere installata un'app completamente inutile. Una scelta veramente tremenda.

Ciao, sono nella tua stessa condizione. Sei riuscito a fare progressi? Sai dirmi se il seed usato per l'accesso all'account aruba è lo stesso della PEC? In tal caso il problema non esiste, ma altrimenti? Eventualmente potremmo unire gli sforzi per cercare una soluzione.

PataviniMa commented 2 weeks ago

Ciao, sono nella tua stessa condizione. Sei riuscito a fare progressi? Sai dirmi se il seed usato per l'accesso all'account aruba è lo stesso della PEC? In tal caso il problema non esiste, ma altrimenti? Eventualmente potremmo unire gli sforzi per cercare una soluzione.

Beh, in un certo senso ho fatto enormi progressi. Ho disdetto il servizio Aruba PEC ed ho risolto il problema alla radice.