Aggiornamenti recenti Novembre 21st, 2024 8:55 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Come playlist e podcast su Spotify promuovono software pirata
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
- Una vulnerabilità di un plugin di WordPress mette a rischio più di 4 milioni di siti
Dostupno: l’app di messaggistica espone i dati degli utenti su Internet?
Si presenta come una concorrente di Whatsapp e Telegram, ma gli utenti lanciano l’allarme in Rete: “nessuna protezione dei dati inviati”.
Applicazioni come Whatsapp e Telegram hanno relegato gli SMS nel campo dell’archeologia della comunicazione, consentendo a chiunque abbia uno smartphone di inviare e ricevere messaggi senza spendere un euro.
Rispetto ai vecchi “messaggini” hanno però un limite: permettono l’invio di testo solo quando è presente una connessione Internet.
Perché non inventare un sistema che consenta l’invio gratuito di messaggi testuali anche quando non si ha accesso alla rete? L’idea è venuta a IF Inspreifon, una società attiva in Italia, Spagna e nell’est Europa (Russia, Ucraina e Azerbaijan) che ha lanciato un’app dedicata chiamata Dostupno.
L’applicazione in questione, però, è rapidamente finita al centro di una furibonda polemica alimentata da alcuni utenti che hanno denunciato l’assenza di qualsiasi misura di sicurezza o tutela della privacy e che in breve tempo, è degenerata in una vera rivolta contro gli sviluppatori culminata con un “attacco informatico” che ha cancellato il database sfruttato dalla piattaforma.
Andiamo con ordine: come funziona Dostupno? La logica di funzionamento dell’applicazione è piuttosto originale. Si basa, in pratica, sull’utilizzo di un set di 10 messaggi predefiniti che vengono memorizzati su un database.
Per inviarne uno al destinatario, l’app usa la funzione di chiamata dello smartphone, “tarandone” la durata in maniera da identificare quale messaggio deve essere visualizzato. In pratica: una chiamata di 5 secondi corrisponde al messaggio 1, una di 10 secondi al messaggio 2 e via dicendo.
Come ha fatto notare u/Lo_acker, un utente Reddit che ha pubblicato un lungo post riguardo il funzionamento di Dostupno, si tratta di un escamotage decisamente creativo, ma che ha qualche pecca in termini di praticità.
Per citarne solo qualcuna, il corretto funzionamento dell’app richiede che la segreteria telefonica sia disattivata e che il destinatario intuisca che si tratta di una chiamata di Dostupno e non risponda alla telefonata.
Secondo u/Lo_acker, però, i limiti di carattere pratico sono un aspetto marginale rispetto a quelli legati alla sicurezza dell’applicazione.
Il download del database di messaggi (ne esiste uno per ogni interlocutore) verrebbe infatti aggiornato tramite una pagina in PHP che consentirebbe di inviare qualsiasi query. Al suo interno sarebbero presenti i database in chiaro di tutti i messaggi impostati dagli utenti.
In pratica: chiunque potrebbe scaricarsi non solo i messaggi, ma anche i numeri di telefono degli utenti che hanno installato e utilizzato l’applicazione. Nel dettaglio stiamo parlando di qualche migliaio di utenze (su Google Play l’app risulta essere stata installata più di 50.000 volte) che sarebbero rimaste esposte per un periodo indefinito di tempo.
In seguito alla pubblicazione del post, qualcuno ha pensato bene di accedere al server in questione e cancellare tutto il database. Un’azione che molti utenti hanno commentato positivamente, considerandola una forma di “autodifesa” nei confronti di una gestione inadeguata dei dati.
Dopo una serie di scambi su Reddit e sulla pagina di Google Play (che qui vi risparmiamo) sembra che dalle parti di IF Inspreifon abbiano cambiato qualcosa nel sistema. Tutto a posto quindi? Non proprio.
Secondo un altro utente Reddit (u/d4rksnow) il server sarebbe stato spostato semplicemente a un altro indirizzo e il database codificato in base64. Risultato: messaggi e numeri di telefono sarebbero ancora accessibili a chiunque.
A conferma di quanto sostiene, u/d4rksnow ha pubblicato al corredo del suo post un’immagine che sarebbe estratta dal database in questione.
Contatta da Security Info, IF Insprefion ha inviato un commento che riportiamo:
Il database centralizzato presente su DOSTUPNO può essere letto in modo chiaro senza alcun problema ma la sicurezza di DOSTUPNO non viene per nulla violata. Negli ultimi giorni si è parlato di tutto tralasciando la cosa più importante. Cioè la funzionalità per cui l’app DOSTUPNO è nata.
Quando si parla di sicurezza nell’inviare i messaggi con DOSTUPNO si parla di quello che viene fatto direttamente dall’app senza tenere alcuna traccia in nessun DB ( ne locale ne remoto ).
I DB vengono semplicemente utilizzati per allineare i dati in remoto in 2 o più app e non per tener traccia di ciò che viene inviato. Per chiarire facciamo un esempio.
Se si inseriscono le seguente frasi:
- Ciao
- Pippo
- Pluto
- Paperino
- ….
e i numeri
1, 2, 3, 4, 5, 6, 7, 8, 9, n…
Ora la domanda è: L’UTENTE CHE FRASE SELEZIONERA’ E A QUALE NUMERO INVIERA’ LA STESSA ?? Questa è una domanda a cui NESSUNO potrà rispondere, , nemmeno noi, in quanto nel db locale o remoto non viene tenuta alcuna traccia. Queste sono azioni che decide l’utente e che non vengono tracciate in modo assoluto da nessun db. Detto questo riesce difficile immaginare che qualche utente, pur avendo i dati in mano riesca a capire quale frase e quale numero è stato scelto ed inviato.
QUESTO E’ IL CORE della sicurezza di cui parliamo di DOSTUPNO. Per concludere l’app sarà migliorata come tutte le app che a fatica si sono fatte strada,ma non per questo non è una valida idea.
Ringraziamo u/d4rksnow per aver verificato e dato ulteriori spunti su cui lavorare e migliorare. Attualmente abbiamo rilasciato dal Rel. 2.16 che di sicuro è una versione intermedia (stiamo lavorandoci su per migliorare la stessa) chiediamo a u/d4rksnow di effettuare altri test e di farci capire, possibilmente, se la stessa può essere “violata” (anche se il core per cui è nata l’applicazione non viene per nulla intaccato) da chiunque o da hacker che abbiano un alto livello di esperienza. Questo sempre nell’ottica di migliorare la stessa.
Condividi l'articolo
La debolezza intrinseca dei protocolli Internet
Cina: server esposto su Internet.. coi dati di cittadini schedati
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno... -
Kaspersky ha collaborato a Synergia II, operazione... Kaspersky ha collaborato a Synergia II, operazione...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Come playlist e podcast su Spotify promuovono software... Playlist e podcast sono l’esca ideale per attirare ignari... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova... -
Una vulnerabilità di un plugin di WordPress mette a... István Márton, ricercatore di Wordfence, ha individuato...
Ransomware: la serie
No posts found.
