In queste ultime settimane una storica editoria Italiana che vanta un fatturato di oltre 500 milioni di euro nel 2014, fonte Wikipedia, ha pubblicato sull’Apple Store e Play Store una nuova applicazione per leggere un celebre fumetto.
Purtroppo la prima versione di questa App sta ricevendo notevoli commenti negativi nei rispettivi store, le criticitร riportate sono basate sulla lentezza nell’ottenere i contenuti e sui continui crash durante la lettura del fumetto.
Ricerca
A fini di ricerca ho voluto visualizzare il traffico generato dall’Applicazione installata sul mio iPad Mini, ho cosรฌ provveduto ad aprire BackBox Linux e il software preinstallato ZAP Proxy, proprio come feci tempo indietro rilevando che era possibile leggere piรน di 20 Quotidiani o Riviste gratuitamente scavalcando il sistema di pagamento.
Directory Listing
L’analisi del traffico attraverso il Proxy Server รจ durata veramente poco, l’applicazione attraverso uno script PHP autentica l’utente attraverso una richiesta POST in chiaro e ne consegue che l’utente viene autorizzato o meno allo scaricamento dei fumetti. Se non รจ autorizzato viene invitato ad acquistare il fumetto.
Se l’utente รจ autorizzato inizia il download del PDF contente le nuove e avvincenti storie del xxxxxx piรน famoso della storia ๐
Con una semplice analisi del traffico scopro giร le prime lacune in termini di sicurezza informatica:
- Assenza del protocollo SSL per l’invio delle credenziali dell’utente;
- Invio delle credenziali in chiaro (es. username=andrea.d&password=nonteladico);
- Server pubblico senza la ben che minima protezione agli accessi;
- ร possibile ottenere illecitamente il fumetto conoscendo la path del file PDF, poichรฉ ad esso non รจ associato alcun meccanismo di autenticazione.
Nuovamente quindi รจ possibile leggere il fumetto eludendo il meccanismo di pagamento, con un grosso danno economico alla casa editoriale. ร un punto importante e molto critico che favorisce la pirateria ai danni della societร , ho giร parlato di questi aspetti in passato ed ora non voglio soffermarmi ulteriormente anche perchรฉ sono un loro fedele cliente da oltre 20anni e continuerรฒ ad esserlo.
Il secondo dettaglio che mi รจ saltato all’occhio aprendo il PDF nel mio Browser Firefox รจ che il server permette il Directory Listing son quindi riuscito a vedere i vecchi e nuovi numeri che usciranno nelle prossime settimane! :O
Vi ricordate il danno di immagine della Sony quando vennero trafugate in anteprima delle pellicole cinematografiche?! Bene e se iniziassi a distribuire i futuri numeri del fumetto prima della loro uscita ufficiale, di quanto diminuirebbero le vendite lecite?
Credenziali di Root
Ho continuato la mia navigazione, lecita, all’interno del server scoprendo uno script in python e un file di configurazione XML che contengono le credenziali del server MySQL, credenziali che riportano come nome utente “root“ ed รจ quindi possibile dedurre che le credenziali SSH e MySQL coincidano non essendo presente un utente specifico per MySQL.
Mi sono cadute le braccia, un utente malintenzionato potrebbe quindi accedere con i massimi poteri sul server e “giocarci” a proprio piacimento!
Nessuno Conosce l’URL
Riflettendo sul caso mi รจ venuto in mente un recente articolo di Paolo, nel quale parla di un Penetration Testing andato a buon fine e delle scusanti che l’Acccount Manager gli ha riportato.
Il server web in questione non ha alcun dominio associato, quindi l’Applicazione accede direttamente all’IP del Server di produzione. Server che probabilmente ha il solo compito di autenticare gli utenti e distribuire i file PDF!
La casa editoriale o lo sviluppatore potrebbe rispondermi “Non vi รจ alcun riferimento a quel server sul nostro sito Web, perchรฉ preoccuparsene!?” la risposta รจ facile! Quel server รจ su INTERNET e accessibile a TUTTI, non รจ stato implementato alcun sistema di autenticazione e non vi รจ neanche un briciolo di buona volontร nel renderlo sicuro! Ne riparleremo quando Google scansionerร il contenuto del server e le credenziali saranno alla mercรฉ del piรน infimo lamer che userร il server per diffondere Phishing, Malware, ecc ecc!
๐ non si rendono nemmeno conto.
Sorvolo su facili commenti.
In effetti, cosa vuoi dire a ‘sto tipo di management?? il problema non sono nemmeno loro. Ma chi ce li ha messi, a fare quello che (non) fanno. E li pagano pure. Detto tutto [#tutto]
Se non ci sono riferimenti da nessuna parte google non scansiona il sito…
๐ il problema รจ proprio il “SE”!
Ottima analisi ๐
Ottimo articolo complimenti; ma li hai avvisati della scoperta ?
Ciao, prova anche su https://pweb.irenmercato.it/
Che vergogna. E questa sarebbe la sicurezza di cui noi dobbiamo fidarci ciecamente? Complimenti per l’articolo! Hai provveduto a segnalare la falla? Potrei sapere di quale casa editrice si parla?
Le username e password nelle URL, per la cronaca, mi sono capitate anche in una mail “reminder” che mi arriva regolarmente: per incentivare il servizio con gli utenti pigri, presumibilmente, invitano a cliccarci in modo che l’utente si trovi direttamente loggato nel loro sito.
Che devi dire, a questi ๐