Skip to main content
CiaoIM privacy a rischio

CiaoIM, falle di sicurezza gravissime, dimostrazione #1

diffamare

dif|fa||re
v.tr.
1304-08; lat. diffāmāre “divulgare” poi “spargere cattiva voce”.
CO danneggiare la reputazione di qcn. diffondendo notizie calunniose o disonorevoli
CiaoIM privacy a rischio
CiaoIM privacy a rischio
Il Presidente Erba, dimostrando a mio modo di vedere assoluta inadeguatezza nella gestione di un prodotto tecnologico, si rifiuta di prendere in considerazione le mie segnalazioni perchè “non c’è nessun riferimento tecnico” e pensa (scrive) che il mio unico scopo è diffamare.
È ovvio che oltre a non avere idea di cosa sia la diffamazione, sta dimostrando che non ha nessuna cultura digitale e non ha idea di come si gestiscano delle security notice .
Per togliere qualsiasi dubbio, pubblico un video dove dimostro una delle vulnerabilità elencate nel mio precedente articolo:
Un attaccante può registrarsi a nome di un altro utente CiaoIM o numero inesistente all’applicazione CiaoIM.
Il numero che ho registrato è il +39123456789, numero ovviamente inesistente, usato a scopo didattico, ma ovviamente è replicabile con qualsiasi numero. È ancora attivo, ma non provate a chiamarmi, non rispondo 🙂
Lo ripeto anche in questo articolo. Questa è solo una dimostrazione, non divulgherò nessun dettaglio che permetta di sfruttare le numerose vulnerabilità di CiaoIM.
Il consiglio che continuo a dare è di disinstallare CiaoIM, i vostri dati non sono trattati e gestiti in modo sicuro

  • Danilo74

    una cosa non capisco: dove e come è arrivato il codice di sicurezza?

    • Francesco Montefusco

      credo sia solo quello il codice, sia uguale per tutti, ma non so

    • noctislupo

      penso il codice venga generato a partire dal numero di telefono, ma l’algoritmo che lo genera è troppo naif

  • Skynord

    Vabbé ma tanto questa applicazione ha già fatto flop sin dall’inizio

  • Pingback: Stonex CiaoIM e la sicurezza: la prima dimostrazione | AKLab.org()

  • Dev Master

    mmmm … credo che il codice di sicurezza venga generato direttamente dal numero prendendo delle posizioni prefissate e quindi se:

    tel.: 123456789 = cod. sic.: 479618

    potrebbe essere:

    tel.: 987654321 = cod. sic.: 671492

    Ma non sono sicuro perché non ho spacchettato l’IPA e quindi aperto il codice (sto andando ad intuito)!

    • sebastiano antenucci

      penso proprio sia cosi anche io avevo avuto la stessa tua intuizione

      • Dev Master

        Beh … comunque sia, avendo seguito le loro vicende il problema non è CiaoIM, il problema è l’Azienda in se, a partire dal modo di relazionarsi (sia con i clienti che con i potenziali acquirenti) fino a finire alle balle magagalattiche: la città dei giovani, il loro store aperto a tutti (ne hanno usufruito solo i DollyNoire) e altre mille mila caXXate. Sicuramente tra un anno saranno solo un lontano ricordo. Anche se adesso hanno annunciato qualcosa che rivoluzionerà il Mondo, una cosa che non ha ne telegram ne facebook e compagnia varia, credo che sia un autorisponditore che se fai una domanda scomoda prima ti insulta dandoti del castoro e poi ti banna (ovviamente sarà multipiattaforma) XD

    • perchè 671492 e non, magari, 631492?
      Comunque provati entrambi: nada 😉

      • Dev Master

        si hai ragione seguendo l’ordine numerico:

        123456789
        5 1 4263
        ovviamente usando il num di tel 987654321 si otterrebbe: 631492
        Sorry l’ho fatto a mente e di fretta! 🙂

        D’altro canto potrebbero anche essere combinazioni univoche tipo:

        prima posizione + la terza (quindi 1 + 3) = 4
        terza posizione + la quarta (quindi 3 + 4) = 7
        la quarta + la quinta (quindi 4 + 5) = 9
        poi la somma dei primi 3 numeri (1 + 2 + 3) = 6

        e così via…
        ma d’altro canto ci potrebbero essere somme, sottrazioni, moltiplicazioni e anche un mix degli stessi ma con posizioni ben precise, quindi credo si faccia prima a guardare il codice(anche se mi rompo scaricare CIofecaIM)…

        Credo che la soluzione migliore sia demandare al server questo tipo di richieste di generazione codice (ovviamente con codice criptato e con numeri generati casualmente e salvati in un DB)!

        Ma non sono un esperto in materia … 😀

        • idem. Ho notato però una cosa: immettendo un numero valido e facendo due richieste vengono spediti due codici differenti. Il secondo ha qualcosa in comune con le teorie che abbiamo sviluppato qui. Il secondo apparentemente inutilizzabile.
          Ho cancellato l’account con numero valido e ora non mi rimanda più il codice. Tentando di riutilizzare i codici vecchi mi dice “code not match”.
          Forse forse dopo la “video denuncia” di Giuseppe hanno messo mano lato server.
          Se giuseppe volesse provare con il suo algoritmo un altro numero inventato ci darebbe la conferma o la smentita

          • Dev Master

            Può essere!
            Ma comunque lo sistemano, non lo sistemano alla fine chi se ne….. XD
            Il problema non sono le falle (sicuramente importanti), ma è l’Azienda in se, fatta da un DJ che si sente il nuovo Jobs (a cui devono la fortuna iniziale del progetto per i follower della sua pagina) che però sa si e no accendere il telefonino (e queste cose alla lunga saltano fuori) e da uno pseudo imprenditore che magari ha avuto la fortuna di beccare il filone giusto con il settore GPS, ma che non sa relazionarsi con i clienti (arrogante,ineducato … ) che dovrebbe essere bloccato nella fase comunicativa con la clientela! Non riesco a prenderli seriamente anche sforzandomi, sembra un circo con pagliacci, animali feroci e burattini … Che poi sembrano bramosi di far soldi, quando in realtà (sui loro social lo sbattono in faccia ai clienti) ne hanno a palate! Quindi perché non si fermano e non riorganizzano la struttura Aziendale, magari prendendo una persona CAPACE nelle comunicazioni, un ESPERTO nel settore Informatico (e non il solito bamboccio che ripara telefonini) magari una serie di programmatori capaci ….. Insomma il concetto di fare Azienda e non l’armata Brancaleone. Anche perché ormai a seguirli e ad “osannarli” sono rimasti in pochi di cui il 90% donne che credono di diventare famose perché scrivono al DJ e si “accontentano” di poter dire alle amiche “sai io chatto con DJ vattelapesca” …. Ma queste non comprano un telefonino ogni Mese (forse ogni 3 anni), non comprano Action Cam e di tecnologia ne capiscono meno che zero ….

          • Più o meno ciò che penso io. Come ho scritto spesso: non critico il fatto di averci provato e di aver fallito con lo stonex one (e per ora con ciaoim). Alla fine chi fallisce è perchè almeno ci ha provato. Sono i modi e soprattutto i proclami che fanno (e che sistematicamente non mantengono) a renderli odiosi, irritanti e in qualche modo tristemente divertenti.
            Perchè sarò sincero: io quando Erba scriveva i suoi proclami denigratori verso FB, Whatsapp e telegram ho riso. Perchè i casi li erano due:
            -sfornare un’app davvero incredibile
            -sfornare un’app mediocre.
            Per quanto la mia aspettativa (e il loro passato) mi portassero a pensare all’app mediocre in cuor mio speravo di sbagliarmi. Se non altro per quel migliaio di persone che ancora credono in loro.
            La realtà è stata anche peggio… ciaoim si commenta da sola e oggi come oggi dubito fortemente in un update miracoloso.
            La versione per android poi… nemmeno un apk da scaricare. E questo fa pensare in che direzione stanno andando senza troppi dubbi…

          • Dev Master

            Beh … che facciano ridere è sicuro … Erba non ha capito che fa l’Imprenditore, ma nella sua testa dev’essere convinto di aver partecipato a “uomini e donne” e si comporta come una star trattando male le persone e facendosi selfie e quant’altro come se fosse Brad Pitt (onestamente sarebbe meglio se li evitasse -_-), d’altro canto cerca di godere della luce riflessa del buon DJ (che a sua volta vive della luce riflessa del Padre). Ma passando a cose più serie, alla fin fine il loro lavoro fino ad ora quale è stato? Chiamare AMOI e ordinare un telefono indicando da un catalogo i pezzi che ci volevano dentro? Fare la stessa identica cosa per la Stonex Cam e il Power Bank? Commissionare ad una ditta indiana (che per altro se si guarda sul sito ce l’avevano già pronta) una chat in stile WA? Non riesco a capire dov’è il lavoro di ricerca e sviluppo, visto che la produzione è fatta fuori dall’Italia. Però noi Italiani li dovremmo lodare perché pagano le tasse qui! Ma che vadano fuori dall’Italia se questo è il loro concetto di Azienda! Non hanno fatto l’Azienda in Italia perché “amano” l’Italia, ma perché fuori il buon DJ non lo conosce nessuno, quindi avrebbero avuto visibilità pari a ZERO! Mettici anche il fatto che gli Italiani amano i grandi proclami alla Renzi, Berlusconi & CO (30 anni di prese in giro) e questo è il mercato più fertile per chi non sapendo fare nulla ma potendo arrivare facilmente alle persone (usando l’immagine di un tizio conosciuto) può raggirare la gente! Massimo risultato con il minimo sforzo! …. Amen!

          • direi che non c’è molto altro da aggiungere. Ottima rappresentazione della realtà. Ciaoim ha solo una cosa che non mi fa urlare “che schifezza”: il fatto che almeno è gratuita. Se non mi chiedi soldi puoi anche sviluppare la cosa più inutile e orribile del mondo. La evito e basta. Ma se pago per una cosa e questa fa pena (vedi ad esempio il fermacarte azzurro) si cambia registro e punto di vista.
            Il discorso sui problemi della privacy è al di sopra di tutto questo: deve esser tutelata in ogni modo e per questa mancanza non ci sono giustificazioni o attenuanti

          • Dev Master

            Beh ovviamente è “gratuita” fino alla curva!
            Mi spiego meglio, l’app oggi viene rilasciata gratuitamente (tranne gli spider che saranno a pagamento), mettiamo che tra un anno ci siano 1.000.000 di persone ad usufruirne (inutile dire che è più facile che mi spuntino le ali), vedrai che a quel punto faranno qualche partnership e allora la situazione cambierebbe:
            – potrebbero mettere l’app a pagamento a 0,99 cent come è stato per WA (per 0,99 cent chi si sarebbe spostato da WA ad un altro IM perdendo tutti i contatti ???)
            – potrebbero mettere banner pubblicitari come ha fatto skype.
            Insomma le strade ci sono quando si hanno tanti utenti che ormai sono abituati ad usare una piattaforma IM!
            Nessuno fa niente per niente, figuriamoci loro!
            Il problema è che “devono” fare i grandi numeri, prima di attuare qualche strategia economica!
            P.S.: Mo chiedo a Facchi e ad Erbas se vogliono fatto un Beat’em up con loro 2 che si picchiano con i Castori, sai quanti download garantiti ….. ahhahahahahahahha
            Ovviamente scherzo non voglio avere niente a che fare con la loro Azienda, ma regalo l’idea a qualche Indie. 😉

          • Basta vedere sullo store di Apple, che mania di protagonismo ha, ha messo la sua faccia nelle foto d’anteprima! 😂

          • Luca Milkovitsch

            E poi, anche esteticamente, si sforzassero di fare qualcosa che non sembri la versione per bambini di un prodotto serio…

          • Dev Master

            Ovviamente nel concetto di “Azienda” intendevo TUTTE le figure professionali del caso:
            – Programmatori Senior
            – Programmatori Junior
            – UI Designer
            ecc ecc
            Ma perché pagare questi “GIOVANI TALENTI ITALIANI” in cui loro credono così tanto, quando in India con il 10% della cifra puoi ottenere un risultato …. pietoso???? XD

        • C’è l’APK da qualche parte, scaricabile?

          • Dev Master

            Ancora la versione Android non è stata rilasciata …. e non so nemmeno se vedrà mai la luce …. XD

          • Mi sembrava ci fosse una beta..in giro..
            Poi mi pare avessi letto che una volta uscito per iOS, per Android veniva subito rilasciato..
            Vabe di castonerie ne hanno dette..
            Tralalatro non ho ben capito perché mi hanno bannato da fesbuk ( ok ci sono entrato per spiare ), ma mi è scappata solo qualche parolina qua e là… evidentemente hanno dei mod molto solerti…

  • RiccardoC

    su ciao im penso che ogni commento sia come sparare sulla croce rossa.
    Non si potrebbe avere un feed rss del sito per favore? Non uso telegram, sono ancora legato a questi standard arcaici

  • Lorenzo

    Telegram e Whataspp hanno questa fantastica funzionalità??
    Immagino (e spero :D) di NO, quindi già questa è una RIVOLUZIONE !!!
    Puoi essere chi vuoi essere!

    Noialtri non possiamo capire l’evoluzione tecnologica apportata dal team Indian**ops, Stonex! 😀

  • Danilo74

    intanto dalla pagina fb di approutes sono sparite le foto che ritraevano il team con le magliette e cellulari stonex!!! un’altro grande traguardo della censura del signor Erba!!! un vero genio del marketing…che pena

  • Tra parentesi: ho testato l’invio del codice su un MVNO e lo sto ancora aspettando

  • Dev Master

    Vorrei “consigliare” (lo metto tra apici perché ognuno è libero di fare quel che vuole) all’autore dell’articolo (Giuseppe) di non continuare (se in possesso di altre informazioni in materia di falle di sicurezza) a divulgare le sue scoperte, perché partendo dal presupposto che il suo articolo fosse mirato ad aiutare l’Azienda, ne ha ricevuto in cambio solo un intimidazione (possibile denuncia) da parte del Proprietario (oltre alle varie prese in giro della loro community) che però magari avendo capito la falla forse è riuscito a sistemare il problema (pensa te …. che servizio che cortesia che gli hai fatto)! E’ meglio se questi problemi rimangono così un domani quando si troveranno 10.000 persone che gli bucano il sistema, sono loro che ne dovranno rispondere a chi di dovere della privacy degli utenti! Ricordatevi che ad avere a che fare con queste persone c’è solo da perdere! Non esistono ne Ambascia”TORI” ne Castori, ma sono rimasti solo degli “ALLOCCHI” che ancora gli danno credito!

    • Non hanno risolto proprio un bel nulla, tutti i bug sono presenti

      • Dev Master

        Bene! GRANDE GIUSEPPE! Non segnalargli più nulla, falli affogare nella loro stessa …. Almeno che, non ti “paghino” per il disturbo e ti porgano delle scuse ufficiali!

      • Mi pare poco tempo fa qualcuno è stato pagato per un bug segnalato.. tipo 10.000dollari… ma vabè..(altri pianeti)
        Raccoglieranno quello che seminano.. 😉

  • lol come al solito l’unica parola per descrivere Stonex è: IMBARAZZANTE, sanno solo minacciare di azioni legali a destra e a manca. Sti figli di pooh…

  • Pingback: CiaoIM, falle di sicurezza gravissime, dettagli tecnici #1 | Giuseppe()