L'esperto di sicurezza Andrea Draghetti ha svelato nei dettagli come leggere gratuitamente i quotidiani e le riviste per iPad. In pratica ha individuato una falla a novembre e oggi ha rilasciato tutti i dettagli. Il suo intento è esclusivamente quello di incentivare gli sviluppatori a migliorare le applicazioni.


Tutti i quotidiani e le riviste per iPad possono essere letti gratuitamente aggirando con pochi passaggi il sistema di In-App Purchase sviluppato per Apple iOS. La scoperta era stata fatta dall'esperto di sicurezza Andrea Draghetti, e il suo team, nel novembre scorso, ma oggi è arrivato il momento dei dettagli. In ogni caso tutti i soggetti interessati sono stati informati via mail e Twitter, poiché siamo di fronte a una falla non da poco.

In cosa consiste il buco di sicurezza? In pratica le app di quotidiani e riviste leggono i dati da server online. Le case editrici commissionano l'archiviazione e la messa in linea dei contenuti ad aziende specializzate, come Paperlit, Pagestreamer o Pagesoft.fr. Queste però ospitano i numeri delle riviste completamente in chiaro; ovvero, chi conosce l'URL di accesso di un contenuto lo può leggere a scrocco da un semplice browser, usando un computer o un tablet.

iPad e La Repubblica
Draghetti spiega che "dopo un’attenta analisi dei pacchetti di rete ricevuti ed inviati (packet sniffer) da ogni singola applicazione è possibile determinare la fonte dei quotidiani o riviste, successivamente è possibile accedere direttamente da Safari o da qualsiasi altro Browser al contenuto desiderato, digitando un semplice indirizzo web, evitando il pagamento tramite l’In-App Purchase del contributo richiesto dall’editore", scrive Draghetti.
"Inizialmente è stato analizzato tutto il traffico di rete generato tra l’iPad ed un Access Point Wireless tramite l’applicativo Wireshark scoprendo che viene generato del traffico HTTP, integrando un semplice filtro è stato possibile ottenere tutti i percorsi necessari per creare la Responsible Disclosure".
"Nel video della Full Disclosure ho ritenuto più immediato l’utilizzo di un Proxy HTTP, tramite il software Zaproxy sviluppato dalla OWASP è possibile visualizzare tutte le richieste di tipo GET generate dai vari applicativi, come potete visualizzare una volta ottenuto l’indirizzo segreto associato al quotidiano/rivista è possibile digitarlo in un comune browser accedendo al contenuto in maniera completamente gratuita".
Insomma la vulnerabilità può essere sfruttata ricorsivamente "senza interagire giornalmente con il PC in quando vedremo che gli URL utilizzati sono sempre i medesimi con l’unica differenza che cambia la data in esso contenuta".
"Come già avevo anticipato nella Responsible Disclosure il mio intento era esclusivamente quello di incentivare gli sviluppatori a migliorare le loro applicazioni e mi complimento pubblicamente per chi in questi mesi ha migliorato il proprio sistema di diffusione dei contenuti", conclude Draghetti.

In conclusione il dettaglio più sconcertante è che Paperlit e soci abbiano messo in linea in chiaro e con URL facili da indovinare le versioni sfogliabili di riviste e quotidiani. Ancora più imbarazzante è che gli sviluppatori delle app non abbiano pensato a un sistema più sicuro per la gestione dei contenuti, come per esempio un processo di autenticazione con login e password cifrati.
Ci troviamo di fronte all'ennesimo esempio di come il mercato delle app sia pieno di servizi messi in linea in maniera frettolosa e senza la giusta cura della sicurezza. A volte a perderci sono i consumatori, a volte i fornitori.




Tom's H