Dopo le tre vulnerabilità segnalate e pubblicate nel precedente articolo, ho scoperto un altro ben più grave problema che ho prontamente segnalato al team Beentouch facendo notare che la vulnerabilità in oggetto mette a rischio la privacy degli utenti.

Purtroppo, a differenza delle precedenti segnalazioni, l’azienda questa volta non riconosce la vulnerabilità e dopo numerose email mi scrivono inspiegabilmente:

Dalle nostre analisi non emerge alcun difetto sulle API, quindi non intendiamo porre una data di disclosure su un problema che non rileviamo che non sia semplicemente il soggettivo grado di elevatura dei sistemi di sicurezza preposti a proteggere il dato.

Inspiegabilmente si rifiutano di riconoscere il problema, arrivando a definire la mia segnalazione “un dubbio”, mentre in realtà, come evidenzierò, si tratta di una vulnerabilità in una loro api molto grave che non richiede nessuna elevatura.

Un attaccante ‘autenticato’ al servizio Beentouch può avere accesso ai dati personali (email, numero di telefono) di TUTTI gli utenti Beentouch 

Quali sono i dati in questione?

• Nome
• Cognome
• email
• numero di telefono
• eventuale Facebook id

Quali sono le implicazioni?

Per come è definita la struttura dati di Beentouch, questo problema permette ad un utente smaliziato, e nemmeno troppo esperto, di avere il DB di tutti gli  utenti di Beentouch in pochi minuti.

Ho anche chiesto all’azienda se avesse intenzione di fare analisi per capire se questa vulnerabilità sia già stata usata per furto di dati, ma ho ricevuto un criptico:

“Il dettaglio delle procedure interne all’azienda per fronteggiare problematiche di questo tipo non sono divulgabil”

Anche questa volta non rileverò i dettagli che permettono di sfruttare la vulnerabilità per tutelare l’azienda ed i suoi utenti, ma spero che la giovane startup faccia marcia indietro e risolva il problema.

Spero che questo articolo possa da un lato  mettere in guardia gli utenti Beentouch, ma dall’altro sia spunto di riflessione per chi si accinge a costruire un nuovo prodotto.

Vi ricordo che se volete essere aggiornati sui miei nuovi articoli, potete farlo con telegram! https://telegram.me/iuculano

Update

È apparso ieri sera un post nel blog di Beentouch, molto ben scritto. Francamente credo che si impieghi molto più tempo a scrivere un post del genere, che a risolvere il problema (se lo si capisce ovviamente).

Rispondo però ai punti principali.

• Giustissimo il punto dove si chiarisce che il numero di telefono non è usato come metodo di autenticazione, però omettono un particolare. Se in un’applicazione che fa Call e videocall o instant messaging riesco a chiamare a nome di un’altra persona, è un problema di sicurezza
• Fanno riferimento a dei super sistemi di sicurezza e alarm che avvisano in caso di tentativi di intrusione. Molto scenica e di impatto, ma purtroppo con una API progettata male non c’è alarm che tenga, semplicemente si ha accesso all’informazione
• Di impatto anche l’analogia con la cassa, la chiave, e la tenaglia. Purtroppo l’analogia è usata impropriamente, perchè nel caso specifico bisognerebbe specificare che non occorre nessuna tenaglia, ma la stessa chiave fornita da Beentouch. Direi che l’analogia più onesta sia questa: è come se un venditore di casse distribuisca lucchetti che vengono aperti tutti con una chiave, distribuita a tutti i proprietari delle casse. Ogni chiave può aprire tutti i lucchetti.

Piccola nota a chiusura del tutto personale

Penso che gli utenti avrebbero apprezzato di più l’umiltà di una azienda che riconosce il problema, avvisa gli utenti, e fa di tutto per risolverlo. Beentouch si è dimostrata molto attenta nella comunicazione tentando maldestramente di sottostimare il problema e dando informazioni parziali. Una startup ai primi mesi di vita dovrebbe pensare un po’ meno all’apparire, più al prodotto.

L'articolo Beentouch, gravissimo problema di sicurezza non riconosciuto dall’azienda. Privacy a rischio. sembra essere il primo su Giuseppe.

Anche se definita come app che “guarda al futuro“, in realtà Beentouch è l’ennesima app costruita sopra Quickblox, un framework proprietario che permette di costruire in poco tempo una app capace di effettuare chiamate, videochiamate e instant messaging.  Nonostante tante testate locali (e non) parlino di un algoritmo rivoluzionario, dalle mie analisi risulta che Beentouch faccia uso di protocolli e codec di Quickblox standard, ma ovviamente se gli autori vorranno replicare con dati e benchmark a supporto sono i benvenuti.

Fatta questa premessa, andiamo al vero argomento dell’articolo.

Spinto dalla curiosità, ho analizzato Beentouch per capire se anche la chiacchierata app sviluppata da ragazzi catanesi soffrisse di vulnerabilità simili a quelle della ormai defunta CiaoIm.

Purtroppo il mio sospetto si è rilevato realtà, Beentouch soffre delle stesse vulnerabilità di CiaoIm, ed in particolare ha un bel po’ di errori nel design del protocollo di autenticazione e registrazione:

• Un attaccante è in grado di registrarsi a nome di un altro utente Beentouch, o numero inesistente all’applicazione Beentouch
• Un attaccante è in grado di usare, ovvero chiamare e videochiamare, a nome di un altro utente Beentouch, o numero inesistente.

In aggiunta, ho trovato anche un altro serio problema, un leak di informazione sensibili:

• Un attaccante può facilmente recuperare le credenziali usate dall’applicazione Beentouch per mandare SMS OTP tramite il gateway Telecom (easyapi), riuscendo a mandare SMS abusivamente dal gateway Telecom.

Disclosure delle vulnerabilità

Giorno 2 Maggio ho contattato il team di Beentouch, che a differenza del team di CiaoIm, si è dimostrato molto disponibile e collaborativo, ringraziandomi per la segnalazione.

Ho dato i dettagli (che nell’articolo sono ancora parzialmente omessi), e abbiamo concordato 20 giorni per la risoluzione. Ahimè dopo un mese le vulnerabilità non sono ancora corrette (nonostante diversi update su Google Play), quindi dopo un paio di rinvii richiesti, ho deciso di rendere pubbliche le vulnerabilità.

Vorrei complimentarmi con i ragazzi di Beentouch che, a differenza di CiaoIm e del suo CEO Davide Erba, hanno gestito bene la comunicazione con il sottoscritto dimostrandosi collaborativi e disponibili. Un po’ meno per la velocità dei fix, che ricordo ad oggi non ci sono…

Vi ricordo che se volete essere aggiornati sui miei nuovi articoli, potete farlo con telegram! https://telegram.me/iuculano

Update

Ho identificato un altro, molto più grave problema. Ho inviato i dettagli al team di Beentouch e sono in attesa di concordare una data per il disclosure.

Update 2

Beentouch, gravissimo problema di sicurezza non riconosciuto dall’azienda. Privacy a rischio.

L'articolo Beentouch, gravi problemi di sicurezza sembra essere il primo su Giuseppe.

Ripeto che il consiglio che do è di non usare CiaoIM, perchè ad oggi presenta una infinità di problemi di sicurezza che permettono a malintenzionati di avere accesso ai vostri dati.

Annunciata pochi giorni fa, la versione Android è stata accompagnata addirittura da un comunicato stampa dove alla fine viene proclamata sicura:

• Sicura: dispone di una chat segreta con messaggi, foto e video che si autodistruggono (il tempo di autodistruzione degli stessi viene settata direttamente dall’utente); ti notifica quando tuoi contatti fanno screenshot delle loro conversazioni avute con te.

È evidente che il concetto di sicurezza dentro Stonex è quanto meno equivocato. Non sono le chat segrete a far sì che CiaoIM sia sicura, e le innumerevoli prove che ho dato in questo blog dovrebbero un po’ far arrossire chi ha scritto quel comunicato.

Di seguito il video della dimostrazione di una delle vunerabilità presente anche sulla versione Android.

L'articolo CiaoIM, privacy a rischio, pericolose falle di sicurezza anche nella versione Android sembra essere il primo su Giuseppe.

Sono sempre contrario alle generalizzazioni, però forse quando qualcuno dice che la manodopera IT in India è molto conveniente ma di bassissima qualità ha ragione. E sì, perchè pare che la società che sta sviluppando software e app per conto di Stonex sia AppRoutes (alla faccia del made in Italy), software house indiana (notizia mai confermata da Stonex, ma neppure smentita)

Ma torniamo al vero motivo di questo articolo, CiaoIM e la privacy. Ho avuto l’occasione di provare CiaoIM alla sua uscita (pensate bene, sei mesi di sviluppo di 50 programmatori a detta di Francesco Facchinetti e Davide Erba), e mi sono voluto assicurare che i miei dati, e quelli degli utenti, fossero al sicuro. Ho trovato una situazione drammatica. Le più basilari norme di sicurezza informatica non sono state attuate, e di conseguenza la privacy e la sicurezza dei dati degli utentidi CiaoIM è fortemente a rischio. Per il momento, in questo articolo non dirò come è possibile sfruttare i problemi di CiaoIM, ma dirò cosa un attaccante può fare una volta scoperto i problemi (e credetemi, non ci vuole molto). Sto tentando di mettermi in contatto con Stonex per divulgare i dettagli.

• Un attaccante è in grado di rubare dati personali tramite l’applicazione CiaoIM, tra cui, rubrica del telefono, rubrica CiaoIM, conversazioni CiaoIM, log CiaoIM.
• Un attaccante può registrarsi a nome di un altro utente CiaoIM o numero inesistente all’applicazione CiaoIM.
• Un attaccante può usare, ovvero chattare, chiamare e videochiamare a nome di un altro utente CiaoIM o numero inesistente.

Il consiglio agli utenti di CiaoIM che do è quello di non usare, o meglio disinstallare, CiaoIM, ad oggi non ci sono rimedi.

Al momento sto cercando un modo sicuro per comunicare con gli sviluppatori di CiaoIM in modo sicuro, ma il form dei contatti ufficiale non funziona http://www.ciaoim.com/index.php/contacts/

Ad oggi 2 Aprile 2016 risulta vulnerabile la versione nello store Apple (ad oggi 1.1) e la versione non ufficiale beta per Android.

Considerazione personale. Forse è ora di rendersi conto che affinché un prodotto sia valido, e di conseguenza abbia successo, non basta solo un influencer come Facchinetti che lo fa conoscere e lo sponsorizza (con discutibili spot più volte definiti come menzogne). Il valore di un prodotto non è dato da chi lo sponsorizza, ma dalle persone che ci stanno dietro.

Update 02/04/2016 17:30:

Qual è lo scopo di questo articolo? Divulgare una vulnerabilità? No! Non ho infatti divulgato nessun dettaglio che permette di sfruttare tale vulnerabilità

Ho cercato di mettermi in contatto con il team di CiaoIM con l’unico metodo serio, il form ufficiale di contatto dichiarato ad Apple, ovvero http://www.ciaoim.com/index.php/contacts/

Questo form ahimè non funziona, e mi rifiuto di usare per cose così delicate canali non ufficiali (Facebook?)

Una azienda seria avrebbe risposto con un “Ehi, grazie Giuseppe, dacci i dettagli tecnici che proviamo a risolvere nel più breve tempo possibile”.  Praticamente tutte le più note aziende, tra cui anche Telegram e Google aspettano segnalazioni come queste per migliorare e rendere sempre più sicuro il proprio prodotto. Invece purtroppo, tale Davide Erba, ha avuto quell’atteggiamento tutto italiano (disgustoso direi) del “Lei non sa chi sono io, ti denuncio”

Caro Davide Erba, sarò ben felice di dare tutti i dettagli tecnici atti ad individuare e fixare i problemi, ma usando l’unico metodo che mi garantisce di rivelare i dettagli all’unico contatto titolato a riceverli,   il form ufficiale di contatto dichiarato ad Apple.

Vi lascio giudicare l’atteggiamento dell’imprenditore, presidente Davide Erba, e le sue illazioni con gli screenshot seguenti

Update 04/04/2016

Nonostante la mia collaborazione e voglia di aiutare a correggere i disastri che questa applicazione ha, la risposta che ho avuto è stata un ban dal gruppo Facebook

Signor Erba, purtroppo sta dimostrando di non avere quella cultura digitale necessaria a seguire un prodotto tecnologico.

Anche oggi il form ufficiale non funziona, di seguito screenshot, proverò nei prossimi giorni a ricontattare il team di CiaoIM

L'articolo CiaoIM, falle di sicurezza gravissime, privacy a rischio sembra essere il primo su Giuseppe.