repubblica Archivi - Andrea Draghetti

iPad Newspapers Exploit – Full Disclosure

Premessa

A seguito della Responsible Disclosure rilasciata lo scorso 27/11/2010 nella quale dimostravo come era possibile aggirare il sistema di In-App Purchase sui sistemi Apple iOS per la lettura di rivisti e quotidiani sono oggi a pubblicare la Full Disclosure nella quale verrà dimostrato ogni singolo passaggio.

La procedura affligge i principali quotidiani e riviste, i soggetti interessati nella Full Disclosure sono stati preventivamente informati tramite eMail, tramite i canali online del settore Apple e sui loro canali Twitter.

Descrizione

Dopo un’attenta analisi dei pacchetti di rete ricevuti ed inviati (packet sniffer) da ogni singola applicazione è possibile determinare la fonte dei quotidiani o riviste, successivamente è possibile accedere direttamente da Safari o da qualsiasi altro Browser al contenuto desiderato, digitando un semplice indirizzo web, evitando il pagamento tramite l’In-App Purchase del contributo richiesto dall’editore.

Inizialmente è stato analizzato tutto il traffico di rete generato tra l’iPad ed un Access Point Wireless tramite l’applicativo Wireshark scoprendo che viene generato del traffico HTTP, integrando un semplice filtro è stato possibile ottenere tutti i percorsi necessari per creare la Responsible Disclosure.

Nel video della Full Disclosure ho ritenuto più immediato l’utilizzo di un Proxy HTTP, tramite il software Zaproxy sviluppato dalla OWASP è possibile visualizzare tutte le richieste di tipo GET generate dai vari applicativi, come potete visualizzare una volta ottenuto l’indirizzo “segreto” associato al quotidiano/rivista è possibile digitarlo in un comune browser accedendo al contenuto in maniera completamente gratuita.

Comunemente tutti gli applicativi incriminati procedono a scaricare un indice composto dai seguenti dati:

Copertina in Miniatura;
Data di pubblicazione;
Contributo da addebitare tramite In-App Purchase;
URL da utilizzare per il download del contenuto completo.

una volta processato l’acquisto il sistema provvede a scaricare la risorsa completa tramite l’URL contenuto nell’indice.

Per aggirare il pagamento dovremmo pertanto risalire all’URL del nostro contenuto e accederci direttamente da Safari o da un comune Browser (Mozilla Firefox, Chrome, ecc ecc).

La vulnerabilità può essere utilizzata ricorsivamente senza interagire giornalmente con il PC in quando vedremo che gli URL utilizzati sono sempre i medesimi con l’unica differenza che cambia la data in esso contenuta, un URL di esempio è similare a: http://ilnostrocontenuto.distributore.com/ANNO/MESE/GIORNO/CONTENUTO.PDF basterà sostituire ANNO, MESE, GIORNO con i valori interessati per ottenere il quotidiano desiderato, senza l’ausilio di alcun software Proxy o Sniffer.

Il sistema di diffusione cambia leggermente per i distributori ed in particolare:

Paperlit

Azienda che fornisce il servizio a molteplici quotidiani Italiani e Riviste permette di visualizzare l’indice dei contenuti sfruttando un semplice Reader RSS il quale punta direttamente al contenuto completo.

Pagestreamer

Azienda che ha come principale cliente il Sole 24 ore invia all’iPad un file ZIP contenente l’anteprima di ogni singola pagina del quotidiano ed un file .sql contenete un sunto degli articoli e il collegamento alle pagine in formato PDF.

Playsoft.fr

Azienda che prevede il download iniziale della miniatura in formato PDF, successivamente viene scaricato il file PDF contenente la versione completa del contenuto. Per gli applicativi di questa azienda è stato necessario l’utilizzo di un iPad Jailbreaked per determinare il formato del nome del file.

Video Full Disclosure

Risorse Disponibili

Di seguito verranno riportati gli URL necessari per accedere gratuitamente alle riviste o quotidiani evitando il pagamento del contributo richiesto dal fornitore tramite l’In-App Purchase di Apple.

La Repubblica

Quotidiano del Giorno: http://www.paperlit.com/read/repubblica2-nz/

Precedenti Giorni: http://www.paperlit.com/read/repubblica2-nz/YYYY-MM-DD/ con l’accuratezza di sostituire YYYY-MM-DD con il giorno, mese e anno oppure fare riferimento all’indice.

Indice RSS: http://www.paperlit.com/rss/repubblica2-nz/

eMule Magazine

Ultimo Numero: http://www.paperlit.com/read/emule/

Precedenti Numeri: http://www.paperlit.com/read/emule/YYYY-MM-DD/ con l’accuratezza di sostituire YYYY-MM-DD con il giorno, mese e anno oppure fare riferimento all’indice.

Indice RSS: http://www.paperlit.com/rss/emule/

The Times Leader

Quotidiano del Giorno: http://www.paperlit.com/read/TimesLeader/

Precedenti Giorni: http://www.paperlit.com/read/TimesLeader/YYY-MM-DD/ con l’accuratezza di sostituire YYYY-MM-DD con il giorno, mese e anno oppure fare riferimento all’indice.

Indice RSS: http://www.paperlit.com/rss/TimesLeader/

La Provincia di Lecco

Quotidiano del Giorno: http://www.paperlit.com/read/laprovinciadilecco/

Precedenti Giorni: http://www.paperlit.com/read/laprovinciadilecco/YYYY-MM-DD/ con l’accuratezza di sostituire YYYY-MM-DD con il giorno, mese e anno oppure fare riferimento all’indice.

Indice RSS: http://www.paperlit.com/rss/laprovinciadilecco/

La Provincia di Como

Quotidiano del Giorno: http://www.paperlit.com/read/laprovinciadicomo/

Precedenti Giorni: http://www.paperlit.com/read/laprovinciadicomo/YYYY-MM-DD/ con l’accuratezza di sostituire YYYY-MM-DD con il giorno, mese e anno oppure fare riferimento all’indice.

Indice RSS: http://www.paperlit.com/rss/laprovinciadicomo/

La Provincia di Varese

Quotidiano del Giorno: http://www.paperlit.com/read/laprovinciadvarese/

Precedenti Giorni: http://www.paperlit.com/read/laprovinciadivarese/YYYY-MM-DD/ con l’accuratezza di sostituire YYYY-MM-DD con il giorno, mese e anno oppure fare riferimento all’indice.

Indice RSS: http://www.paperlit.com/rss/laprovinciadivarese/

La Provincia di Sondrio

Quotidiano del Giorno: http://www.paperlit.com/read/laprovinciadisondrio/

Precedenti Giorni: http://www.paperlit.com/read/laprovinciadisondrio/YYYY-MM-DD/ con l’accuratezza di sostituire YYYY-MM-DD con il giorno, mese e anno oppure fare riferimento all’indice.

Indice RSS: http://www.paperlit.com/rss/laprovinciadisondrio/

L’eco di Bergamo

Quotidiano del Giorno: http://www.paperlit.com/read/lecodibergamo/

Precedenti Giorni: http://www.paperlit.com/read/lecodibergamo/YYYY-MM-DD/ con l’accuratezza di sostituire YYYY-MM-DD con il giorno, mese e anno oppure fare riferimento all’indice.

Indice RSS: http://www.paperlit.com/rss/lecodibergamo/

Glamour

Ultimo Numero: http://www.paperlit.com/read/glamour/

Precedenti Numeri: http://www.paperlit.com/read/glamour/YYYY-MM-DD/ con l’accuratezza di sostituire YYYY-MM-DD con il giorno, mese e anno oppure fare riferimento all’indice.

Indice RSS: http://www.paperlit.com/rss/glamour/

La Tribuna di Treviso

Quotidiano del Giorno: http://www.paperlit.com/read/latribunaditreviso/

Precedenti Giorni: http://www.paperlit.com/read/latribunaditreviso/YYYY-MM-DD/ con l’accuratezza di sostituire YYYY-MM-DD con il giorno, mese e anno oppure fare riferimento all’indice.

Indice RSS: http://www.paperlit.com/rss/latribunaditreviso/

New York Magazine

Ultimo Numero: http://www.paperlit.com/read/nymag/

Precedenti Numeri: http://www.paperlit.com/read/nymag/YYYY-MM-DD/ con l’accuratezza di sostituire YYYY-MM-DD con il giorno, mese e anno oppure fare riferimento all’indice.

Indice RSS: http://www.paperlit.com/rss/nymag/

Il Messaggero

URL di Accesso: http://ipad.ilmessaggero.it/_deploy/ILM/YYYYMMDD/KKK/pdf/p_XX.pdf

Nell’url bisogna sostituire YYYYMMDD con la data del quotidiano che si desidera scaricare, KKK con l’edizione provinciale prescelta e XX con il numero della pagina.

Es: Per scaricare la prima pagina dell’edizione del 24 Maggio 2011 di Civitavecchia basterà accedere al seguente url:

http://ipad.ilmessaggero.it/_deploy/ILM/20110524/CIV/pdf/p_1.pdf

È possibile leggerlo direttamente dall’iPad senza alcuna modifica, se invece si desidera accedere alla risorsa attraverso un altro dispositivo (PC, Mac, Android, ecc ecc) è necessario variare l’User Agent del Browser con il seguente:

Mozilla/5.0 (iPad; U; CPU OS 4_3_3 like Mac OS X; it-it) AppleWebKit/533.17.9 (KHTML, like Gecko) Mobile/8J3

Versioni Provinciali Disponibili:

CIT: Roma
CIV: Civitavecchia
FROS: Frosinone
LAT: Latina
RIE: Rieti
VIT: Viterbo
ABR: Abruzzo
MAR: Marche
UMB: Umbria
ANC: Ancona
PES: Pesaro
MET: Metropoli – Roma
OST: Ostia Litorale

L’Espresso

URL di Accesso: http://ws.ipad.espresso.repubblica.it/_deploy/pdf/YYYYMMDD/p_XX.pdf

Nell’url bisogna sostituire YYYYMMDD con la data del numero che si desidera scaricare e XX con il numero della pagina desiderata.

Es: Per scaricare la prima pagina dell’Espresso del 19 Maggio 2011 basterà accedere al seguente url: http://ws.ipad.espresso.repubblica.it/_deploy/pdf/20110519/p_1.pdf

Corriere della Sera

Il Corriere della Sera sfrutta i Cookie per convalidare l’accesso ai propri contenuti, pertanto per visualizzare il quotidiano dovremo anticipatamente inserire nel nostro browser il seguente cookie:

beRCSapps=RCSapps

avente dominio di appartenenza “.corriere.it” e percorso “/”. Vi ricordo che il nome del Cookie sarà la stringa prima del simbolo uguale mentre il suo valore è ciò che ne segue.

Indice XML: http://media2.corriere.it/mysynd/data/be/pdf2/CORRIEREFC_NAZIONALE_WEB/index.xml

Accedendo al precedente URL è possibile consultare l’indice sfruttato dal software per scaricare il quotidiano richiesto.

Es: Per visualizzare la prima pagina del 25 Maggio 2011 dovremo visitare il seguente url: http://media2.corriere.it/mysynd/data/be/pdf2/CORRIEREFC_NAZIONALE_WEB/20110525/001_25CS001NZSS_1.pdf

Gazzetta dello Sport

La Gazzetta dello Sport sfrutta i Cookie per convalidare l’accesso ai propri contenuti, pertanto per visualizzare il quotidiano dovremo anticipatamente inserire nel nostro browser il seguente cookie:

beRCSapps=RCSapps

avente dominio di appartenenza “.corriere.it” e percorso “/”. Vi ricordo che il nome del Cookie sarà la stringa prima del simbolo uguale mentre il suo valore è ciò che ne segue.

Indice XML: http://media2.corriere.it/mysynd/data/be/pdf2/GAZZETTAFC_NAZIONALE_WEB/index.xml

Accedendo al precedente URL è possibile consultare l’indice sfruttato dal software per scaricare il quotidiano richiesto.

Es: Per visualizzare la prima pagina del 25 Maggio 2011 dovremo visitare il seguente url: http://media2.corriere.it/mysynd/data/be/pdf2/GAZZETTAFC_NAZIONALE_WEB/20110525/001_25GS001NZSS_1.pdf

Il Sole 24 Ore

URL di Accesso: http://ilsole24ore2.pagestreamer.com/deploy/YYYYMMDD/SOLE_SOLE/XXX.pdf

Nell’url bisogna sostituire YYYYMMDD con la data del numero che si desidera scaricare e XXX con il numero della pagina desiderata.

Es: Per scaricare la prima pagina del Sole 24 Ore del 25 Maggio 2011 basterà accedere al seguente url: http://ilsole24ore2.pagestreamer.com/deploy/20110525/SOLE_SOLE/000.pdf

È possibile leggerlo direttamente dall’iPad senza alcuna modifica, se invece si desidera accedere alla risorsa attraverso un altro dispositivo (PC, Mac, Android, ecc ecc) è necessario variare l’User Agent del Browser con il seguente:

Mozilla/5.0 (iPad; U; CPU OS 4_3_3 like Mac OS X; it-it) AppleWebKit/533.17.9 (KHTML, like Gecko) Mobile/8J3

Le Figaro

URL di Accesso: http://lefigaro.playsoft.fr/pdf/LeFigaro_DD-MM-YY.PDF

Nell’url bisogna sostituire DD-MM-YY con la data del numero che si desidera scaricare.

Es: Per scaricare le Figaro del Sole 24 Ore del 25 Maggio 2011 basterà accedere al seguente url: http://lefigaro.playsoft.fr/pdf/LeFigaro_25-05-11.PDF

È possibile leggerlo direttamente dall’iPad senza alcuna modifica, se invece si desidera accedere alla risorsa attraverso un altro dispositivo (PC, Mac, Android, ecc ecc) è necessario variare l’User Agent del Browser con il seguente:

Mozilla/5.0 (iPad; U; CPU OS 4_3_3 like Mac OS X; it-it) AppleWebKit/533.17.9 (KHTML, like Gecko) Mobile/8J3

Conclusioni

Come già avevo anticipato nella Responsible Disclosure il mio intento era esclusivamente quello di incentivare gli sviluppatori a migliorare le loro applicazioni e mi complimento pubblicamente per chi in questi mesi ha migliorato il proprio sistema di diffusione dei contenuti.

30 Maggio 2011/40 Commenti/da Andrea Draghetti

Sicurezza Informatica

Repubblica: “WiFi a Rischio Intrusione!”

Dopo il recente articolo del Sole 24 Ore ora anche Repubblica parla della scarsa sicurezza delle reti Wireless Italiane prendendo sempre spunto dalle dichiarazione del “Hacker” Raoul Chiesa, l’articolo che vi riporteremo integralmente dopo il salto ancora una volta punta ad affermare le rilevazioni fatte dalla White Hat Crew sull’algoritmo delle chiavi WPA degli Access Point Wireless di Alice e Fastweb.

E’ infatti possibile recuperare una chiave WPA smarrita attraverso degli appositi tool distribuiti da diversi programmatori per moltissime piattaforme (Windows, Mac, Unix e Mobili) e da noi recensiti nell’apposita sezione WPA Recovery in costante aggiornamento da diversi mesi.

UTENTI dei principali operatori adsl italiani, attenzione: è diventato molto facile violare le vostre reti wi-fi domestiche e così rubarvi banda o, peggio, dati personali e password. A lanciare l’allarme è Raoul Chiesa, uno degli (ex) hacker più famosi in Italia e ora professionista di sicurezza informatica: “Si stanno diffondendo strumenti online che permettono a chiunque di vestire i panni di un pirata informatico e di intrufolarsi nelle reti wi-fi di provider come Alice e Fastweb”

Stando a quanto spiega Chiesa, alcuni gruppi di malintenzionati si sono specializzati nello sviluppare strumenti in grado di violare le difese dei modelli di router che i principali operatori recapitano in comodato d’uso ai loro clienti. Usando un algoritmo appositamente studiato questi tool, disponibili come software o all’interno di siti web, chiunque può scoprire facilmente la password di quei router. “I pirati hanno capito che il mercato italiano è un po’ strano”, continua Chiesa. “E’ il solo al mondo dove c’è una così grande quota di utenti adsl dotati degli stessi router, perché sono quelli obbligatori con alcune offerte dei principali operatori”. Ecco quindi che alcuni pirati hanno pensato bene di studiare come funzionano quei router (tramite tecniche di “reverse engineering”) e hanno ottimizzato gli strumenti che ne indovinano le password Wpa impostate dagli utenti.

Va ancor peggio, se l’utente lascia le password di default del router che ha noleggiato dall’operatore. Ci sono programmi, utilizzabili anche su cellulare, che consentono di entrare subito nelle reti wi-fi di cui l’utente non abbia cambiato la password.

Se un intruso si è connesso alla nostra rete wi-fi, i rischi sono molteplici. Potrebbe limitarsi a rubarci banda e a connettersi a sbafo a internet. Navigheremo più lenti, di conseguenza. Ma è possibile anche che sfrutti la connessione pirata per commettere reati su internet, lasciando tracce che porterebbero le forze dell’ordine su di noi (in quanto titolari della connessione utilizzata). Altro pericolo: “una volta connesso a una rete Wi-Fi, l’intruso può leggere i dati non crittografati che vi transitano. Password, mail, testi che pubblichiamo…”, aggiunge Chiesa.

Ormai ci sono programmi, come Firesheep ¹, che consentono con molta facilità di rubare password degli utenti connessi a una stessa rete wi-fi. Ma da questi è possibile difendersi con buona efficacia seguendo alcuni semplici passi. Per prima cosa, bisogna accedere ai menu del proprio router ² tramite browser. Qui bisogna cambiare la password di accesso generale e poi impostare un protocollo di sicurezza Wpa2 (invece che Wpa) per la crittografia wi-fi, con relativa password. Evitiamo quelle semplici (tipo “admin” o “password”).

“Certo, anche in questo modo non siamo totalmente al riparo da attacchi, ma al pirata ci vorranno giorni per scovare la password Wpa2”, spiega Chiesa. Un ulteriore livello di protezione è attivare, sempre nei menu del router, il filtro dei mac address: in questo modo si vieterà l’accesso a tutti i dispositivi (computer, cellulari) che non sono già noti al router. “Non è impossibile superare tutte queste difese, ma il pirata dovrebbe faticare così tanto che gli passerà la voglia”, spiega Chiesa.

L’importante poi è non abbassare la guardia quando navighiamo fuori dalla nostra rete domestica. Corriamo il rischio di furto dei dati personali anche se ci connettiamo a reti wi-fi non sicure, gestite da altre persone o esercenti.

9 Gennaio 2011/1 Commento/da Andrea Draghetti

[AGGIORNATO] iPad Newspapers Exploit

Descrizione

Questo video ha l’intento di dimostrarvi come sia possibile aggirare la metodologia di acquisto di una Rivista o Quotidiano nell’iPad o altro dispositivo iOS, permettendoci di accedere al contenuto desiderato in maniera totalmente gratuita evitando il pagamento del contributo richiesto attraverso In-App Purchase di Apple.

Nel video viene dimostrato esclusivamente la fattibilità di quanto dichiarato ma non verranno, volutamente, esposte le tecniche che portano a tale risultato a tutela del mondo dell’editoria Italiana ed Internazionale. Per questa motivazione non è visibile nel video la barra degli indirizzi del Browser Safari e non solo.

Funzionamento

Dopo una attenta analisi dei pacchetti di rete ricevuti ed inviati (packet sniffer) da ogni singola applicazione è possibile determinare la fonte dei quotidiani o riviste, successivamente sfruttando la tecnica di spoofing è possibile accedere direttamente da Safari al contenuto desiderato evitando il pagamento tramite l’In-App Purchase del contributo richiesto dall’editore.

Viene dimostrato il funzionamento dell’exploit su un ristretto numero di Riviste ed un Quotidiano ma è possibile estendere tale tecnica anche per la lettura di altre testate.

Conclusione

Tale dimostrazione ha lo scopo di incentivare gli sviluppatori a migliorare le loro applicazioni e a progettare con un maggiore accuratezza le infrastrutture di rete.

27 Novembre 2010/20 Commenti/da Andrea Draghetti