MyWind & SQL Injection – A rischio le credenziali degli utenti!

MyWind_App

Lo scorso 4 Gennaio sul sito degli Autistici il ricercatore di Sicurezza Informatica Giulio ha rilevato come l’applicazione MyWind dell’omonimo operatore di telefonia mobile sia vulnerabile ad un attacco di tipo SQL Injection. L’applicazione permette agli utenti Wind/Infostrada di vedere il proprio credito residuo, contatori, promozioni attive, visualizzare il PUK e diverse altre opzioni.

Giulio, il ricercatore, ha rilevato una vulnerabilità di tipo SQL Injection nel form per il recupero della password, nel caso un cliente l’avesse smarrita. Dato l’ambiente e il form risultato vulnerabile è facilmente deducibile che è possibile ricavare dal database informazioni confidenziali come eMail, username, password e magari anche i numeri di cellulare degli utenti se non addirittura il traffico telefonico generato.

La Full Disclosure integrale è disponibile sul sito degli Autistici dove vengono mostrati i Request e Response a dimostrazione della vulnerabilità individuata.

Il parametro vulnerabile è il numero di cellulare dell’utente, inviato tramite metodo POST ai server della Wind. Nell’esempio sottostante viene utilizzato il numero fittizio 340123456 e viene iniettato il classico and 1=1:

parameters=["340123456' and 1=1"]&adapter=MASPAdapter&__wl_deviceCtx=<stripped>&procedure=startRecuperoCredenzialiMobile&compressResponse=false&isAjaxRequest=true&x=0.6955877927697153

La risposta alla precedente richiesta dovrebbe essere negativa, avendo iniettato codice a nostro piacimento, ma con grande risposta otteniamo una risposta positiva (true):

/*-secure-
{<strong>"isSuccessful":true</strong>,"response":{"reason":"Richiesta elaborata correttamente","status":"0","datetime":"20141209205546"},"session":{"id":"","expires":"600"}}*/

Come spesso accade, anche nelle vulnerabilità da me individuate, nonostante diverse segnalazioni l’applicazione risulta ancora ad oggi vulnerabile e un attaccante potrebbe sfruttare questa falla per sottrarre informazioni private o nella peggiore delle ipotesi accedere ai sistemi Wind mediante una shell caricata attraverso SQL Injection. La vulnerabilità è stata comunicata al gruppo Wind/Infostrada il 1 Dicembre 2014 e successivamente altre quattro volte senza ottenere alcuna risposta, pertanto il ricercatore ha pubblicato lo scorso 4 Gennaio la Full Disclosure.

Come sempre mi auguro in una veloce risoluzione del problema e una valutazione più approfondita degli aspetti di Sicurezza Informatica da parte delle grandi società tecnologiche.

[AGGIORNAMENTO]

Giulio vuole precisare il suo rapporto con gli Autistici:

Uso lo spazio gentilmente offerto da Autistici perché ne condivido il manifesto e le idee, tuttavia sono un utente come un altro, e non faccio parte del loro collettivo, che invece gestisce il blog cavallette.

  • Matteo Dalla

    Avete fatto bene, certe aziende non si rendono proprio conto dei rischi che corrono finché non ci sbattono la faccia…

  • Alberto

    Interessante!
    Una curiosità: potrei sapere come avete fatto a notare questo nuovo articolo sul sito autistici dot org?
    Sul blog Autistici (cavallette) non trovo questo articolo (e neanche nei loro feeds)!!
    L’articolo sembra stare solo nella sezione di Giulio, che non ha feeds!

    • Ciao Alberto,
      l’articolo mi è stato segnalato da un nostro lettore.

      Andrea

    • Giulio

      Uso lo spazio gentilmente offerto da Autistici perché ne condivido il manifesto e le idee, tuttavia sono un utente come un altro, e non faccio parte del loro collettivo, che invece gestisce il blog cavallette.

      • Giulio,
        è uscito un aggiornamento dell’App! Hanno fixato?

        • Giulio

          Ho provato ora e pare di no.

      • Tonino

        Sul tuo articolo c’è scritto “Installata la CA di Burp sul telefono”… potresti darmi maggiori dettagli e qualche buona guida sulla burp suite. Grazie

  • giovanni

    Ok con il dare pressione a Wind, ma disclosure del genere vanno a danneggiare principalmente i consumatori, dato che le informazioni potenzialmente accessibili con una vulnerabilita’ del genere appartengono a loro. E le potenziali vittime probabilmente non saranno mai a conoscenza che i loro dati sono stati rubati. Ci sono modi e modi di mettere pressione a un vendor, pubblicare cosi’ tanti dettagli pubblicamente probabilmente non e’ il migliore.

  • Giulio

    Dovrebbero aver fixato il 9 febbraio (io non ho ancora controllato).

  • marco

    sicuramente dietro questo bug c’è un linguaggio di Scripting lato server forse php o qualcosa di similare, di loro sono soggetti a queste problematica, metti pure gente incompetente e la frittata è fatta!