Tutti i quotidiani e le riviste per iPad possono essere letti gratuitamente aggirando con pochi passaggi il sistema di In-App Purchase sviluppato per Apple iOS. La scoperta era stata fatta dall'esperto di sicurezza Andrea Draghetti, e il suo team, nel novembre scorso, ma oggi è arrivato il momento dei dettagli. In ogni caso tutti i soggetti interessati sono stati informati via mail e Twitter, poiché siamo di fronte a una falla non da poco.
Incosa consiste il buco di sicurezza? In pratica le app di quotidiani e riviste leggonoi dati da server online. Le case editrici commissionano l'archiviazione e la messain linea dei contenuti ad aziende specializzate, come Paperlit, Pagestreamer o Pagesoft.fr. Queste però ospitano i numeri delle riviste completamente inchiaro; ovvero, chi conosce l'URL di accesso di un contenuto lo può leggere a scroccoda un semplice browser, usando un computer o un tablet.
iPad e La Repubblica
Draghetti spiega che "dopo un'attenta analisi dei pacchetti di rete ricevuti ed inviati (packet sniffer) da ogni singola applicazione è possibile determinare la fonte dei quotidiani o riviste, successivamente è possibile accedere direttamente da Safari o da qualsiasi altro Browser al contenuto desiderato, digitando un semplice indirizzo web, evitando il pagamento tramite l'In-App Purchase del contributo richiesto dall'editore", scrive Draghetti.
"Inizialmente è stato analizzato tutto il traffico di rete generato tra l'iPad ed un Access Point Wireless tramite l'applicativo Wireshark scoprendo che viene generato del traffico HTTP, integrando un semplice filtro è stato possibile ottenere tutti i percorsi necessari per creare la Responsible Disclosure".
"Nel video della Full Disclosure ho ritenuto più immediato l'utilizzo di un Proxy HTTP, tramite il software Zaproxy sviluppato dalla OWASP è possibile visualizzare tutte le richieste di tipo GET generate dai vari applicativi, come potete visualizzare una volta ottenuto l'indirizzo segreto associato al quotidiano/rivista è possibile digitarlo in un comune browser accedendo al contenuto in maniera completamente gratuita".
Insomma la vulnerabilità può essere sfruttata ricorsivamente "senza interagire giornalmente con il PC in quando vedremo che gli URL utilizzati sono sempre i medesimi con l'unica differenza che cambia la data in esso contenuta".
"Come già avevo anticipato nella Responsible Disclosure il mio intento era esclusivamente quello di incentivare gli sviluppatori a migliorare le loro applicazioni e mi complimento pubblicamente per chi in questi mesi ha migliorato il proprio sistema di diffusione dei contenuti", conclude Draghetti.
In conclusione il dettaglio più sconcertante è che Paperlit e soci abbiano messo in linea in chiaro e con URL facili da indovinare le versionisfogliabili di riviste e quotidiani. Ancora più imbarazzante è che glisviluppatori delle app non abbiano pensato a un sistema più sicuro per lagestione dei contenuti, come per esempio un processo di autenticazione conlogin e password cifrati.
Ci troviamo di fronte all'ennesimo esempio di come il mercato delle app siapieno di servizi messi in linea in maniera frettolosa e senza lagiusta cura della sicurezza. A volte a perderci sono i consumatori, a volte ifornitori.