Skip to main content

Beentouch, gravi problemi di sicurezza

Cosa è Beentouch? Anche se definita come app che “guarda al futuro“, in realtà Beentouch è l’ennesima app costruita sopra Quickblox, un framework proprietario che permette di costruire in poco tempo una app capace di effettuare chiamate, videochiamate e instant messaging.  Nonostante tante testate locali (e non) parlino di un algoritmo rivoluzionario, dalle mie analisi risulta che Beentouch faccia uso di protocolli e codec di Quickblox standard, ma ovviamente se gli autori vorranno replicare con dati e benchmark a supporto sono i benvenuti.

 

Beentouch home page
Value proposition Beentouch

 

Fatta questa premessa, andiamo al vero argomento dell’articolo.

Spinto dalla curiosità, ho analizzato Beentouch per capire se anche la chiacchierata app sviluppata da ragazzi catanesi soffrisse di vulnerabilità simili a quelle della ormai defunta CiaoIm.

Purtroppo il mio sospetto si è rilevato realtà, Beentouch soffre delle stesse vulnerabilità di CiaoIm, ed in particolare ha un bel po’ di errori nel design del protocollo di autenticazione e registrazione:

  • Un attaccante è in grado di registrarsi a nome di un altro utente Beentouch, o numero inesistente all’applicazione Beentouch
  • Un attaccante è in grado di usare, ovvero chiamare e videochiamare, a nome di un altro utente Beentouch, o numero inesistente.

In aggiunta, ho trovato anche un altro serio problema per i ragazzi di Beentouch, un leak di informazione sensibili:

  • Un attaccante può facilmente recuperare le credenziali usate dall’applicazione Beentouch per mandare SMS OTP tramite il gateway Telecom (easyapi), riuscendo a mandare SMS abusivamente dal gateway Telecom.

Disclosure delle vulnerabilità

Giorno 2 Maggio ho contattato il team di Beentouch, che a differenza del team di CiaoIm, si è dimostrato molto disponibile e collaborativo, ringraziandomi per la segnalazione.

Ho dato i dettagli (che nell’articolo sono ancora parzialmente omessi), e abbiamo concordato 20 giorni per la risoluzione. Ahimè dopo un mese le vulnerabilità non sono ancora corrette (nonostante diversi update su Google Play), quindi dopo un paio di rinvii richiesti, ho deciso di rendere pubbliche le vulnerabilità.

Vorrei complimentarmi con i ragazzi di Beentouch che, a differenza di CiaoIm e del suo CEO Davide Erba, hanno gestito bene la comunicazione con il sottoscritto dimostrandosi collaborativi e disponibili. Un po’ meno per la velocità dei fix, che ricordo ad oggi non ci sono… 🙂

 

Vi ricordo che se volete essere aggiornati sui miei nuovi articoli, potete farlo con telegram! https://telegram.me/iuculano

 

Update

Ho identificato un altro, molto più grave problema. Ho inviato i dettagli al team di Beentouch e sono in attesa di concordare una data per il disclosure.

 

Update 2

Beentouch, gravissimo problema di sicurezza non riconosciuto dall’azienda. Privacy a rischio.

 

 

  • Luke Thomas

    Ciao, navigando sul web mi sono imbattuto nel tuo articolo. Ho una domanda: come fanno ad essere passati ad oggi già 20 giorni se hai contattato il team il 2 giugno?

  • Pingback: Beentouch, gravissimo problema di sicurezza non riconosciuto dall’azienda. Privacy a rischio. | Giuseppe()

  • Francesco Toffano

    Scusate la domanda magari banale e stupida ma sono ignorante in materia. Ma se il problema di queste applicazioni è la base, cioè questo quickblox, come possono le aziende proteggersi? Cambiano del tutto la base?

    • Ciao, no, il problema non è nel framework di Quickblox, ma nelle API che hanno implementato loro. Quickblox ti fornisce un sdk per effettuare chiamate e videochiamate (la parte più difficile).

      • Francesco Toffano

        Grazie per il chiarimento.