Skip to main content
CiaoIM privacy a rischio

CiaoIM, privacy a rischio, pericolose falle di sicurezza anche nella versione Android

Come ampiamente già discusso, la rivoluzionaria(?) applicazione di instant messaging CiaoIM presenta numerosissimi problemi di sicurezza che mettono a dura prova la privacy degli utilizzatori. Purtroppo il CEO Davide Erba, non ha accettato la disclosure policy proposta dai ragazzi di Voidsec snobbando tutte le evidenze finora mostrate in questo blog e su altri canali.

Ripeto che il consiglio che do è di non usare CiaoIM, perchè ad oggi presenta una infinità di problemi di sicurezza che permettono a malintenzionati di avere accesso ai vostri dati.

CiaoIM privacy a rischio
CiaoIM privacy a rischio

Annunciata pochi giorni fa, la versione Android è stata accompagnata addirittura da un comunicato stampa dove alla fine viene proclamata sicura:

  • Sicura: dispone di una chat segreta con messaggi, foto e video che si autodistruggono (il tempo di autodistruzione degli stessi viene settata direttamente dall’utente); ti notifica quando tuoi contatti fanno screenshot delle loro conversazioni avute con te.

 

È evidente che il concetto di sicurezza dentro Stonex è quanto meno equivocato. Non sono le chat segrete a far sì che CiaoIM sia sicura, e le innumerevoli prove che ho dato in questo blog dovrebbero un po’ far arrossire chi ha scritto quel comunicato.

Di seguito il video della dimostrazione di una delle vunerabilità presente anche sulla versione Android.

  • Raw Main

    Nonostante gli aggiornamenti di entrambe le versioni ‪#‎CiaoIM‬ per iOS e Android confermo anch’io purtroppo la persistenza delle vulnerabilità lato backend Zend Framework 2 per l’autenticazione delle numerazioni telefoniche.

    Sebbene siano stati aggiornati i filtri nel codice locale per il controllo delle numerazioni immesse (ved. lunghezza e sequenza caratteri), che portano comunque a falsi positivi (e.g. mi rifiutava un numero estone valido), è ancora possibile con ancora 2 modalità completare la registrazione con numerazioni inesistenti o associati ad altre utenze.

    Allego alcune immagini di test a conferma con numerazione fittizia (dove si può vedere anche il bug del prefisso internazionale).

  • Daniele Cereda

    ma perchè,stonex vende ed esiste ancora?

  • Pingback: Beentouch, gravi problemi di sicurezza | Giuseppe()