Tue, 30 Aug 2016 8:19 pm
Aplikasi #mycare #indosat berbahaya juga, sepertinya pengecekan hanya dilakukan disisi client. Begini, sebelum isi pulsa, ane buka mycare, taraa... pulsa anda 29k ... Selanjutnya ane isi pulsa 100k, dan sms konfirmasi tambahan pulsa masuk. Server indosat sudah mencatat pulsa ane 129k. Mari kita buka kembali mycare, dan dengan tampilan pulsa masih 29k tadi, langsung pilih menu paket, ane pilih extra, lalu beli paket 6GB, "beli". Dan wohooo, "pulsa anda tidak cukup" kata mycare. Disini titik lemah pertamanya. Mycare tidak langsung bertanya ke server berapa jumlah saldo pada saat "beli", mycare hanya mengingat jumlah saldo pada aplikasi terakhir kali diakses (29k). Bayangkan jika kita bisa memodifikasi app mycare, dengan pulsa 0 dan kita set ingatan jumlah saldo terakhir mycare ke angka 1000k, kira-kira bisa seberapa puas kita membeli paket data? Ane pikir mycare ini sebenarnya aplikasi hybrid, dibangun diatas HTML yang rawan penyusupan. Tapi, andaipun kita telah berhasil memanipulasi jumlah saldo di app mycare, rintangan selanjutnya adalah pengecekan disisi server, jika server melakukan pengecekan ulang, maka dapat dipastikan langkah ini yang memakan energi paling besar, dan ane memilih mundur, hehe... Tapi menurut ane tidak ada salahnya mencoba, jangan-jangan server indosat memakan mentah-mentah hasil pengecekan mycare, dan ... lolos, who knows? #mind
167
Additional Info: