MySql_Root_1v2

In queste ultime settimane una storica editoria Italiana che vanta un fatturato di oltre 500 milioni di euro nel 2014, fonte Wikipedia, ha pubblicato sull’Apple Store e Play Store una nuova applicazione per leggere un celebre fumetto.

Purtroppo la prima versione di questa App sta ricevendo notevoli commenti negativi nei rispettivi store, le criticità riportate sono basate sulla lentezza nell’ottenere i contenuti e sui continui crash durante la lettura del fumetto.

Ricerca

quickstart-zap

A fini di ricerca ho voluto visualizzare il traffico generato dall’Applicazione installata sul mio iPad Mini, ho così provveduto ad aprire BackBox Linux e il software preinstallato ZAP Proxy, proprio come feci tempo indietro rilevando che era possibile leggere più di 20 Quotidiani o Riviste gratuitamente scavalcando il sistema di pagamento.

Directory Listing

L’analisi del traffico attraverso il Proxy Server è durata veramente poco, l’applicazione attraverso uno script PHP autentica l’utente attraverso una richiesta POST in chiaro e ne consegue che l’utente viene autorizzato o meno allo scaricamento dei fumetti. Se non è autorizzato viene invitato ad acquistare il fumetto.

Se l’utente è autorizzato inizia il download del PDF contente le nuove e avvincenti storie del xxxxxx più famoso della storia 😀

Con una semplice analisi del traffico scopro già le prime lacune in termini di sicurezza informatica:

  • Assenza del protocollo SSL per l’invio delle credenziali dell’utente;
  • Invio delle credenziali in chiaro (es. username=andrea.d&password=nonteladico);
  • Server pubblico senza la ben che minima protezione agli accessi;
  • È possibile ottenere illecitamente il fumetto conoscendo la path del file PDF, poiché ad esso non è associato alcun meccanismo di autenticazione.

Nuovamente quindi è possibile leggere il fumetto eludendo il meccanismo di pagamento, con un grosso danno economico alla casa editoriale. È un punto importante e molto critico che favorisce la pirateria ai danni della società, ho già parlato di questi aspetti in passato ed ora non voglio soffermarmi ulteriormente anche perché sono un loro fedele cliente da oltre 20anni e continuerò ad esserlo.

Il secondo dettaglio che mi è saltato all’occhio aprendo il PDF nel mio Browser Firefox è che il server permette il Directory Listing son quindi riuscito a vedere i vecchi e nuovi numeri che usciranno nelle prossime settimane! :O

Vi ricordate il danno di immagine della Sony quando vennero trafugate in anteprima delle pellicole cinematografiche?! Bene e se iniziassi a distribuire i futuri numeri del fumetto prima della loro uscita ufficiale, di quanto diminuirebbero le vendite lecite?

Credenziali di Root

Ho continuato la mia navigazione, lecita, all’interno del server scoprendo uno script in python e un file di configurazione XML che contengono le credenziali del server MySQL, credenziali che riportano come nome utente “root ed è quindi possibile dedurre che le credenziali SSH e MySQL coincidano non essendo presente un utente specifico per MySQL.

Mi sono cadute le braccia, un utente malintenzionato potrebbe quindi accedere con i massimi poteri sul server e “giocarci” a proprio piacimento!

Nessuno Conosce l’URL

Riflettendo sul caso mi è venuto in mente un recente articolo di Paolo, nel quale parla di un Penetration Testing andato a buon fine e delle scusanti che l’Acccount Manager gli ha riportato.

Il server web in questione non ha alcun dominio associato, quindi l’Applicazione accede direttamente all’IP del Server di produzione. Server che probabilmente ha il solo compito di autenticare gli utenti e distribuire i file PDF!

La casa editoriale o lo sviluppatore potrebbe rispondermi “Non vi è alcun riferimento a quel server sul nostro sito Web, perché preoccuparsene!?” la risposta è facile! Quel server è su INTERNET e accessibile a TUTTI, non è stato implementato alcun sistema di autenticazione e non vi è neanche un briciolo di buona volontà nel renderlo sicuro! Ne riparleremo quando Google scansionerà il contenuto del server e le credenziali saranno alla mercé del più infimo lamer che userà il server per diffondere Phishing, Malware, ecc ecc!

 

 

Did you like this?
Tip Andrea Draghetti with Cryptocurrency

Donate Bitcoin to Andrea Draghetti

Scan to Donate Bitcoin to Andrea Draghetti
Scan the QR code or copy the address below into your wallet to send some bitcoin:

Donate Bitcoin Cash to Andrea Draghetti

Scan to Donate Bitcoin Cash to Andrea Draghetti
Scan the QR code or copy the address below into your wallet to send bitcoin:

Donate Ethereum to Andrea Draghetti

Scan to Donate Ethereum to Andrea Draghetti
Scan the QR code or copy the address below into your wallet to send some Ether:

Donate Litecoin to Andrea Draghetti

Scan to Donate Litecoin to Andrea Draghetti
Scan the QR code or copy the address below into your wallet to send some Litecoin:

Donate Monero to Andrea Draghetti

Scan to Donate Monero to Andrea Draghetti
Scan the QR code or copy the address below into your wallet to send some Monero:

Donate ZCash to Andrea Draghetti

Scan to Donate ZCash to Andrea Draghetti
Scan the QR code or copy the address below into your wallet to send some ZCash: