MyWind & SQL Injection – A rischio le credenziali degli utenti!

MyWind_App

Lo scorso 4 Gennaio sul sito degli Autistici il ricercatore di Sicurezza Informatica Giulio ha rilevato come l’applicazione MyWind dell’omonimo operatore di telefonia mobile sia vulnerabile ad un attacco di tipo SQL Injection. L’applicazione permette agli utenti Wind/Infostrada di vedere il proprio credito residuo, contatori, promozioni attive, visualizzare il PUK e diverse altre opzioni.

Giulio, il ricercatore, ha rilevato una vulnerabilità di tipo SQL Injection nel form per il recupero della password, nel caso un cliente l’avesse smarrita. Dato l’ambiente e il form risultato vulnerabile è facilmente deducibile che è possibile ricavare dal database informazioni confidenziali come eMail, username, password e magari anche i numeri di cellulare degli utenti se non addirittura il traffico telefonico generato.

La Full Disclosure integrale è disponibile sul sito degli Autistici dove vengono mostrati i Request e Response a dimostrazione della vulnerabilità individuata.

Il parametro vulnerabile è il numero di cellulare dell’utente, inviato tramite metodo POST ai server della Wind. Nell’esempio sottostante viene utilizzato il numero fittizio 340123456 e viene iniettato il classico and 1=1:

parameters=["340123456' and 1=1"]&adapter=MASPAdapter&__wl_deviceCtx=<stripped>&procedure=startRecuperoCredenzialiMobile&compressResponse=false&isAjaxRequest=true&x=0.6955877927697153

La risposta alla precedente richiesta dovrebbe essere negativa, avendo iniettato codice a nostro piacimento, ma con grande risposta otteniamo una risposta positiva (true):

/*-secure-
{<strong>"isSuccessful":true</strong>,"response":{"reason":"Richiesta elaborata correttamente","status":"0","datetime":"20141209205546"},"session":{"id":"","expires":"600"}}*/

Come spesso accade, anche nelle vulnerabilità da me individuate, nonostante diverse segnalazioni l’applicazione risulta ancora ad oggi vulnerabile e un attaccante potrebbe sfruttare questa falla per sottrarre informazioni private o nella peggiore delle ipotesi accedere ai sistemi Wind mediante una shell caricata attraverso SQL Injection. La vulnerabilità è stata comunicata al gruppo Wind/Infostrada il 1 Dicembre 2014 e successivamente altre quattro volte senza ottenere alcuna risposta, pertanto il ricercatore ha pubblicato lo scorso 4 Gennaio la Full Disclosure.

Come sempre mi auguro in una veloce risoluzione del problema e una valutazione più approfondita degli aspetti di Sicurezza Informatica da parte delle grandi società tecnologiche.

[AGGIORNAMENTO]

Giulio vuole precisare il suo rapporto con gli Autistici:

Uso lo spazio gentilmente offerto da Autistici perché ne condivido il manifesto e le idee, tuttavia sono un utente come un altro, e non faccio parte del loro collettivo, che invece gestisce il blog cavallette.

0 0 vote
Article Rating
Subscribe
Notificami
guest
10 Commenti
più votati
più nuovi più vecchi
Inline Feedbacks
View all comments
Matteo Dalla
Matteo Dalla
9 Gennaio 2015 14:14

Avete fatto bene, certe aziende non si rendono proprio conto dei rischi che corrono finché non ci sbattono la faccia…

Alberto
Alberto
9 Gennaio 2015 22:52

Interessante!
Una curiosità: potrei sapere come avete fatto a notare questo nuovo articolo sul sito autistici dot org?
Sul blog Autistici (cavallette) non trovo questo articolo (e neanche nei loro feeds)!!
L’articolo sembra stare solo nella sezione di Giulio, che non ha feeds!

Giulio
Giulio
10 Gennaio 2015 15:56
Reply to  Alberto

Uso lo spazio gentilmente offerto da Autistici perché ne condivido il manifesto e le idee, tuttavia sono un utente come un altro, e non faccio parte del loro collettivo, che invece gestisce il blog cavallette.

Giulio
Giulio
13 Gennaio 2015 09:00

Ho provato ora e pare di no.

Tonino
Tonino
13 Gennaio 2015 10:22
Reply to  Giulio

Sul tuo articolo c’è scritto “Installata la CA di Burp sul telefono”… potresti darmi maggiori dettagli e qualche buona guida sulla burp suite. Grazie

giovanni
giovanni
11 Febbraio 2015 07:36

Ok con il dare pressione a Wind, ma disclosure del genere vanno a danneggiare principalmente i consumatori, dato che le informazioni potenzialmente accessibili con una vulnerabilita’ del genere appartengono a loro. E le potenziali vittime probabilmente non saranno mai a conoscenza che i loro dati sono stati rubati. Ci sono modi e modi di mettere pressione a un vendor, pubblicare cosi’ tanti dettagli pubblicamente probabilmente non e’ il migliore.

Giulio
Giulio
14 Febbraio 2015 18:34

Dovrebbero aver fixato il 9 febbraio (io non ho ancora controllato).

marco
marco
5 Marzo 2015 14:58

sicuramente dietro questo bug c’è un linguaggio di Scripting lato server forse php o qualcosa di similare, di loro sono soggetti a queste problematica, metti pure gente incompetente e la frittata è fatta!