![image][1]
Доброго времени суток. Меня зовут **Алексей**. Я занимаюсь разработкой под .NET, pentesting и reverse engineering Android apps.
В марте от одного уважаемого человека мне поступил заказ на исследование приложения [play.google.com/store/apps/details?id=com.lycamobile.myaccounts][2] и описание его private API. После непродолжительных манипуляций я понял логику запросов и уж было приступил к описанию, но заметил что при смене номера телефона в запросе сервер продолжает отдавать данные. Оказалось что сервер просто не проверяет авторизованы ли мы и вся авторизация в приложении не более чем формальность.
Немного цифр. **Lycamobile** работает в **21 стране мира**, капитализация **€1.6 billion**.
Данная уязвимость работает в uk, de, usa. Для остальных стран было лень проверять.
Команды API можно узнать там же на сервере по адресу [Читать дальше →][3]

[1]: https://habrastorage.org/getpro/habr/post_images/47e/912/46e/47e91246e78244474e3fef93f8910e54.jpg
[2]: https://play.google.com/store/apps/details?id=com.lycamobile.myaccounts
[3]: https://habrahabr.ru/post/329586/?utm_source=habrahabr&utm_medium=rss&utm_campaign=feed_posts#habracut