Dostupno: l’app di messaggistica espone i dati degli utenti su Internet?

Feb 18, 2019 Marco Schiaffino Gestione dati, In evidenza, Leaks, News, Privacy, RSS, Vulnerabilità 0

Si presenta come una concorrente di Whatsapp e Telegram, ma gli utenti lanciano l’allarme in Rete: “nessuna protezione dei dati inviati”.

Applicazioni come Whatsapp e Telegram hanno relegato gli SMS nel campo dell’archeologia della comunicazione, consentendo a chiunque abbia uno smartphone di inviare e ricevere messaggi senza spendere un euro.

Rispetto ai vecchi “messaggini” hanno però un limite: permettono l’invio di testo solo quando è presente una connessione Internet.

Perché non inventare un sistema che consenta l’invio gratuito di messaggi testuali anche quando non si ha accesso alla rete? L’idea è venuta a IF Inspreifon, una società attiva in Italia, Spagna e nell’est Europa (Russia, Ucraina e Azerbaijan) che ha lanciato un’app dedicata chiamata Dostupno.

L’applicazione in questione, però, è rapidamente finita al centro di una furibonda polemica alimentata da alcuni utenti che hanno denunciato l’assenza di qualsiasi misura di sicurezza o tutela della privacy e che in breve tempo, è degenerata in una vera rivolta contro gli sviluppatori culminata con un “attacco informatico” che ha cancellato il database sfruttato dalla piattaforma.

Andiamo con ordine: come funziona Dostupno? La logica di funzionamento dell’applicazione è piuttosto originale. Si basa, in pratica, sull’utilizzo di un set di 10 messaggi predefiniti che vengono memorizzati su un database.

Per inviarne uno al destinatario, l’app usa la funzione di chiamata dello smartphone, “tarandone” la durata in maniera da identificare quale messaggio deve essere visualizzato. In pratica: una chiamata di 5 secondi corrisponde al messaggio 1, una di 10 secondi al messaggio 2 e via dicendo.

Come ha fatto notare u/Lo_acker, un utente Reddit che ha pubblicato un lungo post riguardo il funzionamento di Dostupno, si tratta di un escamotage decisamente creativo, ma che ha qualche pecca in termini di praticità.

Per citarne solo qualcuna, il corretto funzionamento dell’app richiede che la segreteria telefonica sia disattivata e che il destinatario intuisca che si tratta di una chiamata di Dostupno e non risponda alla telefonata.

Secondo u/Lo_acker, però, i limiti di carattere pratico sono un aspetto marginale rispetto a quelli legati alla sicurezza dell’applicazione.

Il download del database di messaggi (ne esiste uno per ogni interlocutore) verrebbe infatti aggiornato tramite una pagina in PHP che consentirebbe di inviare qualsiasi query. Al suo interno sarebbero presenti i database in chiaro di tutti i messaggi impostati dagli utenti.

In pratica: chiunque potrebbe scaricarsi non solo i messaggi, ma anche i numeri di telefono degli utenti che hanno installato e utilizzato l’applicazione. Nel dettaglio stiamo parlando di qualche migliaio di utenze (su Google Play l’app risulta essere stata installata più di 50.000 volte) che sarebbero rimaste esposte per un periodo indefinito di tempo.

In seguito alla pubblicazione del post, qualcuno ha pensato bene di accedere al server in questione e cancellare tutto il database. Un’azione che molti utenti hanno commentato positivamente, considerandola una forma di “autodifesa” nei confronti di una gestione inadeguata dei dati.

Dopo una serie di scambi su Reddit e sulla pagina di Google Play (che qui vi risparmiamo) sembra che dalle parti di IF Inspreifon abbiano cambiato qualcosa nel sistema. Tutto a posto quindi? Non proprio.

Secondo un altro utente Reddit (u/d4rksnow) il server sarebbe stato spostato semplicemente a un altro indirizzo e il database codificato in base64. Risultato: messaggi e numeri di telefono sarebbero ancora accessibili a chiunque.

A conferma di quanto sostiene, u/d4rksnow ha pubblicato al corredo del suo post un’immagine che sarebbe estratta dal database in questione.

Contatta da Security Info, IF Insprefion ha inviato un commento che riportiamo:

Il database centralizzato presente su DOSTUPNO può essere letto in modo chiaro senza alcun problema ma la sicurezza di DOSTUPNO non viene per nulla violata. Negli ultimi giorni si è parlato di tutto tralasciando la cosa più importante. Cioè la funzionalità per cui l’app DOSTUPNO è nata.

Quando si parla di sicurezza nell’inviare i messaggi con DOSTUPNO si parla di quello che viene fatto direttamente dall’app senza tenere alcuna traccia in nessun DB ( ne locale ne remoto ).

I DB vengono semplicemente utilizzati per allineare i dati in remoto in 2 o più app e non per tener traccia di ciò che viene inviato. Per chiarire facciamo un esempio.

Se si inseriscono le seguente frasi:

Ciao
Pippo
Pluto
Paperino
….

e i numeri

1, 2, 3, 4, 5, 6, 7, 8, 9, n…

Ora la domanda è: L’UTENTE CHE FRASE SELEZIONERA’ E A QUALE NUMERO INVIERA’ LA STESSA ?? Questa è una domanda a cui NESSUNO potrà rispondere, , nemmeno noi, in quanto nel db locale o remoto non viene tenuta alcuna traccia. Queste sono azioni che decide l’utente e che non vengono tracciate in modo assoluto da nessun db. Detto questo riesce difficile immaginare che qualche utente, pur avendo i dati in mano riesca a capire quale frase e quale numero è stato scelto ed inviato.

QUESTO E’ IL CORE della sicurezza di cui parliamo di DOSTUPNO. Per concludere l’app sarà migliorata come tutte le app che a fatica si sono fatte strada,ma non per questo non è una valida idea.

Ringraziamo u/d4rksnow per aver verificato e dato ulteriori spunti su cui lavorare e migliorare. Attualmente abbiamo rilasciato dal Rel. 2.16 che di sicuro è una versione intermedia (stiamo lavorandoci su per migliorare la stessa) chiediamo a u/d4rksnow di effettuare altri test e di farci capire, possibilmente, se la stessa può essere “violata” (anche se il core per cui è nata l’applicazione non viene per nulla intaccato) da chiunque o da hacker che abbiano un alto livello di esperienza. Questo sempre nell’ottica di migliorare la stessa.

Condividi l'articolo