Skip to main content
CiaoIM privacy a rischio

CiaoIM, falle di sicurezza gravissime, privacy a rischio

Sia per lavoro, ma soprattutto per la mia appartenenza al Debian Security Team, mi capita spesso di analizzare software vulnerabili e poco attenti alla sicurezza dell’utente, ma devo dire che su CiaoIM ho trovato una situazione molto particolare. Non è stata rispettata praticamente nessuna regola base di sicurezza informatica.

Sono sempre contrario alle generalizzazioni, però forse quando qualcuno dice che la manodopera IT in India è molto conveniente ma di bassissima qualità ha ragione. E sì, perchè pare che la società che sta sviluppando software e app per conto di Stonex sia AppRoutes (alla faccia del made in Italy), software house indiana (notizia mai confermata da Stonex, ma neppure smentita)

 

Team AppRoutes che festeggiano con gadget Stonex
Team AppRoutes che festeggia con gadget Stonex

Ma torniamo al vero motivo di questo articolo, CiaoIM e la privacy. Ho avuto l’occasione di provare CiaoIM alla sua uscita (pensate bene, sei mesi di sviluppo di 50 programmatori a detta di Francesco Facchinetti e Davide Erba), e mi sono voluto assicurare che i miei dati, e quelli degli utenti, fossero al sicuro. Ho trovato una situazione drammatica. Le più basilari norme di sicurezza informatica non sono state attuate, e di conseguenza la privacy e la sicurezza dei dati degli utentidi CiaoIM è fortemente a rischio. Per il momento, in questo articolo non dirò come è possibile sfruttare i problemi di CiaoIM, ma dirò cosa un attaccante può fare una volta scoperto i problemi (e credetemi, non ci vuole molto). Sto tentando di mettermi in contatto con Stonex per divulgare i dettagli.

CiaoIM privacy a rischio
CiaoIM privacy a rischio
  • Un attaccante è in grado di rubare dati personali tramite l’applicazione CiaoIM, tra cui, rubrica del telefono, rubrica CiaoIM, conversazioni CiaoIM, log CiaoIM.
  • Un attaccante può registrarsi a nome di un altro utente CiaoIM o numero inesistente all’applicazione CiaoIM.
  • Un attaccante può usare, ovvero chattare, chiamare e videochiamare a nome di un altro utente CiaoIM o numero inesistente.

 

Il consiglio agli utenti di CiaoIM che do è quello di non usare, o meglio disinstallare, CiaoIM, ad oggi non ci sono rimedi.

Al momento sto cercando un modo sicuro per comunicare con gli sviluppatori di CiaoIM in modo sicuro, ma il form dei contatti ufficiale non funziona http://www.ciaoim.com/index.php/contacts/

Ad oggi 2 Aprile 2016 risulta vulnerabile la versione nello store Apple (ad oggi 1.1) e la versione non ufficiale beta per Android.

Considerazione personale. Forse è ora di rendersi conto che affinché un prodotto sia valido, e di conseguenza abbia successo, non basta solo un influencer come Facchinetti che lo fa conoscere e lo sponsorizza (con discutibili spot più volte definiti come menzogne). Il valore di un prodotto non è dato da chi lo sponsorizza, ma dalle persone che ci stanno dietro.

 

Update 02/04/2016 17:30:

 

Qual è lo scopo di questo articolo? Divulgare una vulnerabilità? No! Non ho infatti divulgato nessun dettaglio che permette di sfruttare tale vulnerabilità

Ho cercato di mettermi in contatto con il team di CiaoIM con l’unico metodo serio, il form ufficiale di contatto dichiarato ad Apple, ovvero http://www.ciaoim.com/index.php/contacts/

Questo form ahimè non funziona, e mi rifiuto di usare per cose così delicate canali non ufficiali (Facebook?)

Una azienda seria avrebbe risposto con un “Ehi, grazie Giuseppe, dacci i dettagli tecnici che proviamo a risolvere nel più breve tempo possibile”.  Praticamente tutte le più note aziende, tra cui anche Telegram e Google aspettano segnalazioni come queste per migliorare e rendere sempre più sicuro il proprio prodotto. Invece purtroppo, tale Davide Erba, ha avuto quell’atteggiamento tutto italiano (disgustoso direi) del “Lei non sa chi sono io, ti denuncio”

Caro Davide Erba, sarò ben felice di dare tutti i dettagli tecnici atti ad individuare e fixare i problemi, ma usando l’unico metodo che mi garantisce di rivelare i dettagli all’unico contatto titolato a riceverli,   il form ufficiale di contatto dichiarato ad Apple.

 

Vi lascio giudicare l’atteggiamento dell’imprenditore, presidente Davide Erba, e le sue illazioni con gli screenshot seguenti

 

photo_2016-04-02_17-46-30photo_2016-04-02_17-48-42photo_2016-04-02_17-48-54

 

 

Update 04/04/2016

 

Nonostante la mia collaborazione e voglia di aiutare a correggere i disastri che questa applicazione ha, la risposta che ho avuto è stata un ban dal gruppo Facebook 🙂

Signor Erba, purtroppo sta dimostrando di non avere quella cultura digitale necessaria a seguire un prodotto tecnologico.

Anche oggi il form ufficiale non funziona, di seguito screenshot, proverò nei prossimi giorni a ricontattare il team di CiaoIM

 

Form non funzionante

  • Bluff

    la peggior app provata di sempre! se li contatti ti rispondono Suka! è la loro parola d’ordine ormai

  • Pingback: [FLASH]: Falle di sicurezza in CiaoIM | AKLab.org()

  • Kzkz

    Sei solo un idiota!

  • Assolutamente da segnalare ad apple store.

  • Danilo74

    infatti forse sarebbe da segnalare all’app store

  • Danilo74

    ovviamente come loro solito modus operandi hanno censurato tutto!

  • Lasko Laq

    Mi pare strano che abbia questi problemi, mi pareva fosse basata su telegram come applicazione.

    • Non è basata su Telegram, usano quickblox.com

      • Lasko Laq

        Ottimo, interessante, grazie mille

    • Matteo “Codex” Joliveau

      Lasko è basato su un protocollo abbastanza vecchio chiamato XMPP, che è noto per essere abbastanza fragile

  • Lea

    che strana gente si vede che hanno avuto problemi da piccoli, sempre a nascondersi dietro ad avvocati invece che informarsi e dire grazie! comunque gli screenshoot di facebook sono troppo piccoli e non si leggono

  • Danilo Tatoni

    Ciao, ho decompilato anche io l’apk, per studio e ricerca.
    Qualche indicazione su dove cercare ciò che hai detto?

    • Open Source

      Secondo te può darti i dettagli tecnici? Ma sei pazzo?

  • Stonex? Io mi interesso di actioncam e ho contattato Stonex attraverso la loro pagina FB chiedendo dettagli sulla loro cam e se era possibile provarla. Ricevute risposte vaghe e con la richiesta di inviare una mail direttamente a Facchinetti credo visto che la mail era Francesco Ecc ecc. Mai vista una risposta. hanno messo sul mercato un prodotto clone di un altro a prezzo esorbitante. Un consiglio vorrei dare a Facchinetti: “Goditi i soldi di papà e lascia fare queste cose ad altri perché non sono proprio adatte a te” Ciao a tutti.

    • Danilo74

      è gia tanto se non ti hanno insultato…ritieniti fortunato!

  • Pingback: CiaoIM, falle di sicurezza gravissime, dimostrazione #1 | Giuseppe()

  • Piereligio Di Sante

    Quel Davide erba ha la maturità di un neonato

  • Danilo74

    dalla pagina fb di approutes sono sparite le foto che ritraevano il team con le magliette e cellulari stonex, un’altro grande traguardo della censura del signor Erba un vero genio del marketing

  • silvergdb🔠

    azienda allo sbando……

  • Pingback: CiaoIM, falle di sicurezza gravissime, dettagli tecnici #1 | Giuseppe()

  • Pingback: Beentouch, gravi problemi di sicurezza | Giuseppe()