Il Webserver “nascosto” che ci mostra le credenziali di root

MySql_Root_1v2

In queste ultime settimane una storica editoria Italiana che vanta un fatturato di oltre 500 milioni di euro nel 2014, fonte Wikipedia, ha pubblicato sull’Apple Store e Play Store una nuova applicazione per leggere un celebre fumetto.

Purtroppo la prima versione di questa App sta ricevendo notevoli commenti negativi nei rispettivi store, le criticitร  riportate sono basate sulla lentezza nell’ottenere i contenuti e sui continui crash durante la lettura del fumetto.

Ricerca

quickstart-zap

A fini di ricerca ho voluto visualizzare il traffico generato dall’Applicazione installata sul mio iPad Mini, ho cosรฌ provveduto ad aprire BackBox Linux e il software preinstallato ZAP Proxy, proprio come feci tempo indietro rilevando che era possibile leggere piรน di 20 Quotidiani o Riviste gratuitamente scavalcando il sistema di pagamento.

Directory Listing

L’analisi del traffico attraverso il Proxy Server รจ durata veramente poco, l’applicazione attraverso uno script PHP autentica l’utente attraverso una richiesta POST in chiaro e ne consegue che l’utente viene autorizzato o meno allo scaricamento dei fumetti. Se non รจ autorizzato viene invitato ad acquistare il fumetto.

Se l’utente รจ autorizzato inizia il download del PDF contente le nuove e avvincenti storie del xxxxxx piรน famoso della storia ๐Ÿ˜€

Con una semplice analisi del traffico scopro giร  le prime lacune in termini di sicurezza informatica:

  • Assenza del protocollo SSL per l’invio delle credenziali dell’utente;
  • Invio delle credenziali in chiaro (es. username=andrea.d&password=nonteladico);
  • Server pubblico senza la ben che minima protezione agli accessi;
  • รˆ possibile ottenere illecitamente il fumetto conoscendo la path del file PDF, poichรฉ ad esso non รจ associato alcun meccanismo di autenticazione.

Nuovamente quindi รจ possibile leggere il fumetto eludendo il meccanismo di pagamento, con un grosso danno economico alla casa editoriale. รˆ un punto importante e molto critico che favorisce la pirateria ai danni della societร , ho giร  parlato di questi aspetti in passato ed ora non voglio soffermarmi ulteriormente anche perchรฉ sono un loro fedele cliente da oltre 20anni e continuerรฒ ad esserlo.

Il secondo dettaglio che mi รจ saltato all’occhio aprendo il PDF nel mio Browser Firefox รจ che il server permette il Directory Listing son quindi riuscito a vedere i vecchi e nuovi numeri che usciranno nelle prossime settimane! :O

Vi ricordate il danno di immagine della Sony quando vennero trafugate in anteprima delle pellicole cinematografiche?! Bene e se iniziassi a distribuire i futuri numeri del fumetto prima della loro uscita ufficiale, di quanto diminuirebbero le vendite lecite?

Credenziali di Root

Ho continuato la mia navigazione, lecita, all’interno del server scoprendo uno script in python e un file di configurazione XML che contengono le credenziali del server MySQL, credenziali che riportano come nome utente “root ed รจ quindi possibile dedurre che le credenziali SSH e MySQL coincidano non essendo presente un utente specifico per MySQL.

Mi sono cadute le braccia, un utente malintenzionato potrebbe quindi accedere con i massimi poteri sul server e “giocarci” a proprio piacimento!

Nessuno Conosce l’URL

Riflettendo sul caso mi รจ venuto in mente un recente articolo di Paolo, nel quale parla di un Penetration Testing andato a buon fine e delle scusanti che l’Acccount Manager gli ha riportato.

Il server web in questione non ha alcun dominio associato, quindi l’Applicazione accede direttamente all’IP del Server di produzione. Server che probabilmente ha il solo compito di autenticare gli utenti e distribuire i file PDF!

La casa editoriale o lo sviluppatore potrebbe rispondermi “Non vi รจ alcun riferimento a quel server sul nostro sito Web, perchรฉ preoccuparsene!?” la risposta รจ facile! Quel server รจ su INTERNET e accessibile a TUTTI, non รจ stato implementato alcun sistema di autenticazione e non vi รจ neanche un briciolo di buona volontร  nel renderlo sicuro! Ne riparleremo quando Google scansionerร  il contenuto del server e le credenziali saranno alla mercรฉ del piรน infimo lamer che userร  il server per diffondere Phishing, Malware, ecc ecc!

 

 

0 0 votes
Article Rating
Subscribe
Notificami
guest

This site uses Akismet to reduce spam. Learn how your comment data is processed.

8 Comments
piรน votati
piรน nuovi piรน vecchi
Inline Feedbacks
View all comments
Tiziano Dal Farra
Tiziano Dal Farra
29/06/2015 14:48

๐Ÿ™‚ non si rendono nemmeno conto.
Sorvolo su facili commenti.
In effetti, cosa vuoi dire a ‘sto tipo di management?? il problema non sono nemmeno loro. Ma chi ce li ha messi, a fare quello che (non) fanno. E li pagano pure. Detto tutto [#tutto]

Mauro Valvano
30/06/2015 08:23

Se non ci sono riferimenti da nessuna parte google non scansiona il sito…

Rocco Musolino
30/06/2015 18:11

Ottima analisi ๐Ÿ˜‰

Riccardo
Riccardo
01/07/2015 16:03

Ottimo articolo complimenti; ma li hai avvisati della scoperta ?

Raptus
Raptus
03/07/2015 18:24

Ciao, prova anche su https://pweb.irenmercato.it/

Luca
Luca
04/07/2015 10:50

Che vergogna. E questa sarebbe la sicurezza di cui noi dobbiamo fidarci ciecamente? Complimenti per l’articolo! Hai provveduto a segnalare la falla? Potrei sapere di quale casa editrice si parla?

Salvatore Capolupo
16/07/2015 17:07

Le username e password nelle URL, per la cronaca, mi sono capitate anche in una mail “reminder” che mi arriva regolarmente: per incentivare il servizio con gli utenti pigri, presumibilmente, invitano a cliccarci in modo che l’utente si trovi direttamente loggato nel loro sito.

Che devi dire, a questi ๐Ÿ˜€