Как же изящно выглядит работа номеронабирателя у таких телефонов, если разобрать и покрутить.

Вы оптимизируете устный счёт?

И вам советую... Все жизненные проблемы решит сразу. Ну или почти все.

Я НЕ МОГУ

Сегодня день ора.

​19 декабря я нашла уязвимость в СДЭК, позволяющую выгрузить всю базу отправлений с адресами, телефонами и ФИО отправителей/получателей.

На днях её исправили, ура, хотя работы там было на пару человекочасов. Только исправление сломало сервис отслеживания посылок. Теперь в большинстве случаев мобильное приложение выдаст ошибку "К сожалению, мы не можем найти номер накладной". Может и в 100% случаев, не знаю, у меня ни один заказ не удалось проверить.

Рассказать, в чём заключалась уязвимость? В принципе, всё просто.

А пока можете посмотреть на прекрасную форму отписки от их рассылок. ЭТО GOOGLE ФОРМА!

Эй, МТС, я вообще-то бисексуальна.
https://agileday.mts.ru/

UPD: В 16:01:30 пофиксили, теперь 404.
UPD: В 16:05 там появился редирект на чей-то телеграм. Доколе, МТС?

В общем, редиректы теперь меняются каждые несколько минут.

У вас вообще с логикой всё в порядке?
Если не уверены, проверьтесь у @TryLogicBot
Сделала вот для вас.

​Помните этого грязного и потрёпанного стариной товарища?

Теперь он:
1. Чист и опрятен, будто ему вовсе не 35 лет.
2. Имеет красивый белый провод.
3. Сзади у него USB-вход для питания, а внутре у ней^W^W^W внутри у него Pi Zero W.
4. Умеет принимать и совершать звонки (как и 35 лет назад!). Только для этого ему нужен Wi-Fi. Зато может в DTMF!
5. Гордится красивым городским номером, который вам я не покажу.
6. Может инициировать исходящий звонок путём отправки вызываемого номера специальному Telegram-боту. Ведь набирать номера из 10-цифр с помощью диска есть смысл только для выпендрёжа перед друзьями...
7. Благодаря ШИМ, усилителю и динамику достойно сымитирует механическое дзз-дзз, когда кто-то звонит.
8. А если позвонят в Telegram, воспроизведёт стандартный рингтон Telegram.
9. Ах да, поддерживает Telegram-звонки! В обе стороны.
10. Интегрируется с умным домом! Набор цифр при уложенной трубке — выполнение специальных команд, таких как открытие домофона. Уведомляет Google-девушкой о прибытии домочадцев в обитель.
11. Ну да, умеет красиво восьмибитно пиликать, когда кто-то звонит в домофон.

Конечно, это лишь часть списка, да и функциональность модульно дополняется в несколько тыков клавиатуры, поэтому когда-нибудь (ТМ) я расскажу об этом подробнее и даже запишу видео.

А пока полюбуйтесь, какой он теперь няша.

Ребята, мне многие из вас писали претензии по поводу третьего вопроса, который про "запырку".

Я всем отвечала, что согласна, мол и правда обстоятельства недостаточно точно описаны, чтобы однозначно выбрать верное следствие. Всем обещала, что исправлю.

Сейчас полезла исправлять, перечитала вопрос и варианты ответов, а там, оказывается, всё в порядке. Тренируйте логику сами и меня не запутывайте!

​​I need help, anybody know how to close this bottle?

Обернулась назад и осознала, что время стало слишком быстро идти, старею.
При этом временные промежутки воспринимаются так же значимо, как и в детстве.

Сегодня, например, ровно год, как я переехала из Москвы в Санкт-Петербург.
Это было будто вчера, но год — это для меня всё ещё очень много.

Понимаю, что к концу этого года мне исполнится 23, какие-то уже сумасшедшие числа!
Я же школу совсем недавно закончила! (5 лет назад ШТОАОАООА скооллькааа???)

Лёгким движением клёвого сервиса аватарка канала превращается... превращается... в ЭМОДЗИ!

Я тоже эмодзи.
Все и всё вокруг — эмодзи.

Вам нравится Telegram? Ну или любой другой зарубежный интернет-ресурс?
Тогда нам нужно предотвратить наступление Чебурнета и отвоевать своё право на доступ к всемирной паутине. Вы ещё не привыкли, что даже самые базовые права в России приходится отвоёвывать?

Если вы с нами, отметьтесь здесь: https://www.change.org/p/государственная-дума-рф-против-принятия-закона-об-изоляции-российского-интернета

Конечно, петиция не повлияет на ситуацию, но это способ оценить количество сторонников свободы и собрать всех воедино для дальнейших коммуникаций.

P.S. Это не моя петиция

Если вы и активность какую-то проявить надумаете, можете ещё сходить вот таким путём: https://www.facebook.com/Ekaterina.Schulmann/posts/10218645349515874

Пожалуйста, перед тем как писать в ЛС по поводу этого поста, прочитайте выделенную жирным шрифтом часть.

Про взломанные электросамокаты

Ребятушки, не первый и не второй раз мне присылают шокирующую новость про удалённое управление самокатами Xiaomi M365.

Шокирующая она только для широкой публики, однако эта информация была давно известна тем, кто интересуется углублённо. Например, нашим соотечественникам, которые делали кастомные прошивки для обоих самокатов, Xiaomi M365 и Ninebot ES1/2/4.

Я не вчитывалась, что там пишут, но имейте в виду, если Xiaomi отыгрывают удивление и обещают всё исправить — это чушь. Эти уязвимости — особенности протокола, в котором изначально не заложена хотя бы какая-то авторизация.

Да, самокаты можно запаролить, но знаете, как проверяется авторизация? Приложение шлёт запрос самокату "эй, вот этот пароль правильный?" и получает ответ "да, всё ок" или "нет, он неправильный". Если получает первый ответ, приложение рисует вам интерфейс управления самокатом, а если второй, выводит ошибку. Только вот никакая сессия не устанавливается, а все дальнейшие запросы выполняются без паролей и ключей. Это просто проверка на фронтенде. Вы можете вырезать её из приложения и делать с самокатом что угодно. Это я выяснила, когда интегрировала статус самоката в систему умного дома.

Поверьте, такие уязвимости не допускаются случайно, это просто изначальное нежелание нормально продумывать протокол. Подобная ситуация была, когда я реверсила протокол чайника Xiaomi. Я не помню, писала ли об этом публично, поэтому на всякий случай повторюсь. Процедура привязки, которую вы видите в приложении Mi Home, где нужно нажать кнопку на чайнике для завершения регистрации — такая же фикция, как и пароль на самокате. На самом деле приложение завершает регистрацию ещё до того, как просит вас нажать кнопку. А если вы её не нажмёте, регистрация просто сбрасывается. Если почитаете мой разбор протокола, вы поймёте, что можете управлять соседскими чайниками, даже не имея физического доступа в квартиру.

Чего уж говорить про весы Xiaomi Mi Smart Scale, про датчики для цветов Mi Flora и многие другие "лайтовые" устройства. Там и вовсе никакой обфускации нет, ничего реверсить не нужно. Подключаетесь и читаете последний измеренный вес своей подружки.

Пожалуйста, не надо ждать от дешёвых китайцев прорывных технологий вроде проверки сессии, чтобы потом не было неприятных удивлений. Боитесь за воду в чайнике, приватность своих килограммов, сохранность ваших косточек при поездках на самокате? Не используйте Bluetooth устройства от Xiaomi. Единственное из подопытных устройств, запросившее реальное подтверждение при регистрации — Mi Band.

Ах да, про чайник. Мало того, что там никакое подтверждение на самом деле не нужно, вы можете управлять соседским чайником из подъезда без его разрешения, так ещё и предыдущая регистрация сбросится. У соседа чайник пропадёт из приложения Mi Home. Если будете сидеть в подъезде и регистрироваться раз в 5 секунд в цикле, сосед даже не сможет вернуть контроль над устройством.

По поводу остальных умных устройств от Xiaomi. Устройства с Wi-Fi можете вполне спокойно использовать, если проследуете рекомендациям:
1) Не привязывать устройство в китайское облако, а использовать только локально. С помощью систем Home Assistant/Homebridge/Athom Homey или аналогичных.
2) Самим устройствам запретить выход в интернет с помощью файрволла роутера.