Questo modo di dire usato nel catanese, risulta secondo me molto efficace per descrivere questa enorme quantità di Startup più o meno note che raccontano balle ma in maniera convinta e con parole e frasi che suscitano emozioni anche quando di vero non c’è nulla.

Con questo primo articolo inauguro una piccola rubrica dove evidenzierò le “polpette digitali” che leggete in blog e riviste digitali più o meno note, o addirittura in TV. Quel modo probabilmente tutto italiano di raccontare, vantarsi, parlare parlare del nulla. Le #polpette digitali

Ovviamente non potevo non iniziare con il personaggio che nel 2016 rappresenta indiscutibilmente il Re delle Polpette, sua maestà Polpettaro DJ Francesco Facchinetti.

In questo video, pensate più di 2 milioni e mezzo di visualizzazioni (probabilmente quasi tutte provenienti da traffico a pagamento), si auto celebra atteggiandosi e autoproclamandosi il nuovo Steve Jobs italiano. Lui in un prato, mentre pigia tasti a caso del suo portatile, con una straziante colonna sonora See you again di Beth, ci svela che senza di lui il progetto StonexOne non sarebbe mai nato.

Qui addirittura, sempre con la sua solita maschera blu e gli occhialini che fanno ricordare Steve Jobs,  ci svela dove questa meraviglia dello StonexOne è nato. Lui crede in noi, ci mette la forza e la faccia! #polpettedigitali

Ed ecco che ci parla della “Città dei Giovani“, una delle più grosse polpette che ha raccontato nell’ultimo anno. Corsi professionali, zona abitativa, zona dove si ci può divertire, ristoranti discoteche! Tutto grazie a StonexOne! Ovviamente niente di tutto questo è nato e di StonexOne se ne è parlato solo per qualche mese, #polpette

A più di un anno di StonexOne della città dei Giovani, e delle polpette, rimangono solo questi video e moltissime persone che non sanno cosa fare di un telefono pieno di problemi dimenticato dopo solo due mesi. #polpettedigitali

Quale sarà la prossima Polpetta Digitale? Vuoi raccontare la tua polpetta digitale? Contattami !

Vi ricordo che se volete essere aggiornati sui miei nuovi articoli, potete farlo con telegram: https://telegram.me/iuculano

L'articolo StonexOne e le #polpettedigitali sembra essere il primo su Giuseppe.

Ripeto che il consiglio che do è di non usare CiaoIM, perchè ad oggi presenta una infinità di problemi di sicurezza che permettono a malintenzionati di avere accesso ai vostri dati.

Annunciata pochi giorni fa, la versione Android è stata accompagnata addirittura da un comunicato stampa dove alla fine viene proclamata sicura:

• Sicura: dispone di una chat segreta con messaggi, foto e video che si autodistruggono (il tempo di autodistruzione degli stessi viene settata direttamente dall’utente); ti notifica quando tuoi contatti fanno screenshot delle loro conversazioni avute con te.

È evidente che il concetto di sicurezza dentro Stonex è quanto meno equivocato. Non sono le chat segrete a far sì che CiaoIM sia sicura, e le innumerevoli prove che ho dato in questo blog dovrebbero un po’ far arrossire chi ha scritto quel comunicato.

Di seguito il video della dimostrazione di una delle vunerabilità presente anche sulla versione Android.

L'articolo CiaoIM, privacy a rischio, pericolose falle di sicurezza anche nella versione Android sembra essere il primo su Giuseppe.

“Ciao Giuseppe, abbiamo capito il problema e pensiamo di averlo risolto, grazie della segnalazione”

Mi sarebbe piaciuto fosse finita così, ma in realtà, ieri il primo dei bug da me segnalato e dimostrato è stato silentemente risolto ieri 6 Aprile (Update, trovata altra falla che permette la registrazione, guarda in fondo ) . Come mai nessuna comunicazione? Probabilmente perché l’azienda non vuole ammettere il banale errore, non rendendosi conto che l’umiltà e la trasparenza seguita da un “noi teniamo alla privacy dei nostri utenti” sarebbe stato quel sintomo di serietà che tutti cercano. Purtroppo invece sembra che l’unica preoccupazione avuta sia quella dell’apparire come super azienda infallibile.

Se c’è qualcuno, come me, che cerca di mettere in guardia gli utenti dei pericoli che comporta l’uso di una applicazione mobile non sicura, cercando di non divulgare dettagli che possano danneggiare Ciaoim e gli utenti di Ciaoim, si scatena una reazione che sostanzialmente ha l’obiettivo di portare tutto in caciara screditando la segnalazione. 

Vi ricordo che i problemi di sicurezza e di privacy sono davvero tanti in CiaoIm, e attualmente è stato risolto solo il primo che dettaglierò di seguito.

Gli altri problemi descritti nei precedenti articoli, saranno invece segnalati dai ragazzi di voidsec ai quali a quanto pare il Presidente Erba al momento sta degnando risposta.

Ma andiamo alla disclosure tecnica del primo bug.

Una falla nel protocollo di registrazione di CiaoIM, permette a malintenzionati di registrarsi a nome di un altro utente CiaoIM o numero inesistente all’applicazione CiaoIM.

Premessa, architettura di CiaoIM

Se dovessi rappresentare in modo semplice l’architettura di CiaoIM potrei dividerla in tre blocchi

1. Backend CiaoIM
2. Backend QuickBlox
3. Applicativi mobile

Il primo blocco, è quello sviluppato da CiaoIM (o AppRoutes?) e si occupa della registrazione, sync rubrica, e autenticazione. Purtroppo questo è il blocco che presenta più problemi in assoluto.

Il secondo blocco è una installazione enterprise di QuickBlox. Cosa è QuickBlox? Quickblox è un servizio che fornisce un gateway proprietario per fornire servizi di chat, call, e videocall. È chiaro quindi che questa parte non è stata sviluppata da Stonex, e che ad oggi quindi la parte tecnologica core non è realizzata da Stonex.

Ma andiamo alla procedura di registrazione, e analizziamo la chiamata che l’app esegue al backend CiaoIM nel caso di un ipotetica registrazione del numero +39000000000

I campi che l’applicazione manda sono dunque, country, deviceId, deviceType, osVersion, phone.

ed ecco la risposta (parziale) in json ricevuta dal server CiaoIM prima che il bug fosse corretto, con il leak del codice di verifica:

Come è facile vedere, smsCode è proprio il codice, in chiaro, da usare per la verifica che poteva dunque essere letto facilmente

Considerazioni personali

Leggerezze di questo tipo, hanno implicazioni enormi e disastrose in una applicazione di instant messaging. Il consiglio che mi sento di dare al team di CiaoIm e al presidente Erba è di dedicarsi più al prodotto che agli annunci. In una applicazione di Instant Messaging la sicurezza e la privacy deve essere affrontata in modo serio e senza slogan.

Le disclosure delle prossime vulnerabilità sarà coordinata con i ragazzi del team di Voidsec, i quali stanno già dialogando con il signor Erba.

Per ulteriori dettagli o dubbi potete chidere commentando l’articolo, cercherò di rispondere a tutti

Update

Ho ricevuto una segnalazione da un altro ricercatore che preferisce restare anonimo di un’altra vulnerabilità che ha la stessa implicazione. Ho analizzato il Report e confermo la nuova vulnerabilità. Di seguito video dimostrativo

L'articolo CiaoIM, falle di sicurezza gravissime, dettagli tecnici #1 sembra essere il primo su Giuseppe.

diffamare

Il numero che ho registrato è il +39123456789, numero ovviamente inesistente, usato a scopo didattico, ma ovviamente è replicabile con qualsiasi numero. È ancora attivo, ma non provate a chiamarmi, non rispondo

L'articolo CiaoIM, falle di sicurezza gravissime, dimostrazione #1 sembra essere il primo su Giuseppe.

Sono sempre contrario alle generalizzazioni, però forse quando qualcuno dice che la manodopera IT in India è molto conveniente ma di bassissima qualità ha ragione. E sì, perchè pare che la società che sta sviluppando software e app per conto di Stonex sia AppRoutes (alla faccia del made in Italy), software house indiana (notizia mai confermata da Stonex, ma neppure smentita)

Ma torniamo al vero motivo di questo articolo, CiaoIM e la privacy. Ho avuto l’occasione di provare CiaoIM alla sua uscita (pensate bene, sei mesi di sviluppo di 50 programmatori a detta di Francesco Facchinetti e Davide Erba), e mi sono voluto assicurare che i miei dati, e quelli degli utenti, fossero al sicuro. Ho trovato una situazione drammatica. Le più basilari norme di sicurezza informatica non sono state attuate, e di conseguenza la privacy e la sicurezza dei dati degli utentidi CiaoIM è fortemente a rischio. Per il momento, in questo articolo non dirò come è possibile sfruttare i problemi di CiaoIM, ma dirò cosa un attaccante può fare una volta scoperto i problemi (e credetemi, non ci vuole molto). Sto tentando di mettermi in contatto con Stonex per divulgare i dettagli.

• Un attaccante è in grado di rubare dati personali tramite l’applicazione CiaoIM, tra cui, rubrica del telefono, rubrica CiaoIM, conversazioni CiaoIM, log CiaoIM.
• Un attaccante può registrarsi a nome di un altro utente CiaoIM o numero inesistente all’applicazione CiaoIM.
• Un attaccante può usare, ovvero chattare, chiamare e videochiamare a nome di un altro utente CiaoIM o numero inesistente.

Il consiglio agli utenti di CiaoIM che do è quello di non usare, o meglio disinstallare, CiaoIM, ad oggi non ci sono rimedi.

Al momento sto cercando un modo sicuro per comunicare con gli sviluppatori di CiaoIM in modo sicuro, ma il form dei contatti ufficiale non funziona http://www.ciaoim.com/index.php/contacts/

Ad oggi 2 Aprile 2016 risulta vulnerabile la versione nello store Apple (ad oggi 1.1) e la versione non ufficiale beta per Android.

Considerazione personale. Forse è ora di rendersi conto che affinché un prodotto sia valido, e di conseguenza abbia successo, non basta solo un influencer come Facchinetti che lo fa conoscere e lo sponsorizza (con discutibili spot più volte definiti come menzogne). Il valore di un prodotto non è dato da chi lo sponsorizza, ma dalle persone che ci stanno dietro.

Update 02/04/2016 17:30:

Qual è lo scopo di questo articolo? Divulgare una vulnerabilità? No! Non ho infatti divulgato nessun dettaglio che permette di sfruttare tale vulnerabilità

Ho cercato di mettermi in contatto con il team di CiaoIM con l’unico metodo serio, il form ufficiale di contatto dichiarato ad Apple, ovvero http://www.ciaoim.com/index.php/contacts/

Questo form ahimè non funziona, e mi rifiuto di usare per cose così delicate canali non ufficiali (Facebook?)

Una azienda seria avrebbe risposto con un “Ehi, grazie Giuseppe, dacci i dettagli tecnici che proviamo a risolvere nel più breve tempo possibile”.  Praticamente tutte le più note aziende, tra cui anche Telegram e Google aspettano segnalazioni come queste per migliorare e rendere sempre più sicuro il proprio prodotto. Invece purtroppo, tale Davide Erba, ha avuto quell’atteggiamento tutto italiano (disgustoso direi) del “Lei non sa chi sono io, ti denuncio”

Caro Davide Erba, sarò ben felice di dare tutti i dettagli tecnici atti ad individuare e fixare i problemi, ma usando l’unico metodo che mi garantisce di rivelare i dettagli all’unico contatto titolato a riceverli,   il form ufficiale di contatto dichiarato ad Apple.

Vi lascio giudicare l’atteggiamento dell’imprenditore, presidente Davide Erba, e le sue illazioni con gli screenshot seguenti

Update 04/04/2016

Nonostante la mia collaborazione e voglia di aiutare a correggere i disastri che questa applicazione ha, la risposta che ho avuto è stata un ban dal gruppo Facebook

Signor Erba, purtroppo sta dimostrando di non avere quella cultura digitale necessaria a seguire un prodotto tecnologico.

Anche oggi il form ufficiale non funziona, di seguito screenshot, proverò nei prossimi giorni a ricontattare il team di CiaoIM

L'articolo CiaoIM, falle di sicurezza gravissime, privacy a rischio sembra essere il primo su Giuseppe.

Tra le mille polemiche che hanno accompagnato l’uscita dello Stonex One, il cinafonino Amoi distribuito da Smartphone Innovations s.r.l. di Davide Erba e Francesco Facchinetti (DJFrancesco), nessuno ha notato un possibile problema con la legge sul diritto d’autore.

Icon pack di Stonex One

Una cosa che effettivamente hanno in pochi, è un icon pack del tutto eccezionale, interamente disegnate da Luca Arancio, giovane designer italiano che oltre a personalizzare le icone di Android stock, ha “disegnato a matita” le icone e loghi di applicazioni di terze parti, come Facebook, Autovelox, Shazam, ilmeteo.it ecc.

Per quanto siano belle (a me personalmente non fanno impazzire), siamo sicuri che sia possibile modificare un logo e distribuirlo senza autorizzazione?

Un logo è un qualcosa di assolutamente studiato che descrive il prodotto e la sua identità, ma soprattutto è un’opera di ingegno protetta dal diritto di autore,  che ha una licenza più o meno restrittiva. I produttori di smartphone Android possono sicuramente fare modifiche ad Android stock nei limiti di quello che permette la Android Open Source Project License, ma mi risulta davvero difficile non associare la distribuzione (sia nel loro cinafonino, ma anche su Dropbox) di icone di applicazioni di terze parti, e per giunta modificate, ad una possibile violazione di Copyright.

Qualcuno potrebbe obiettare facendo notare che sia su Google Play, che negli store privati di vendor come HTC, sono presenti icon pack (spesso creati da ragazzini) che modificano  icone di applicazioni di terze parti . Ebbene io la penso come Google, che quando riceve dei Copyright claims da parte dei titolari delle icone li rimuove dallo store per possibile Copyright infringement. Vedi ad esempio Google Play tears down Poké icon pack

Vi faccio un ultimo esempio, secondo voi il proprietario di un supermarket può modificare il logo della Coca Cola e cambiare l’etichetta della Coca Cola?

L'articolo StonexOne e icon pack, possibile violazione di copyright? sembra essere il primo su Giuseppe.