EavesDropper: a rischio messaggi e conversazioni sulla piattaforma Twilio


La vulnerabilità consente di accedere alla piattaforma che gestisce le comunicazioni di centinaia di app per Android e iOS. Ma non è colpa di Twilio…

Una falla di sicurezza terribilmente banale mette a rischio la riservatezza delle comunicazioni di tutte quelle aziende che usano app mobile basate sulla piattaforma Twilio.

Twilio è una piattaforma cloud su cui si appoggiano numerosi sviluppatori per consentire di effettuare telefonate e inviare SMS o messaggi di testo nelle loro app.

Come hanno scoperto i ricercatori di Apptrhority, però, la maggior parte degli sviluppatori che sfruttano Twilio hanno commesso un errore imperdonabile: incorporare le credenziali di accesso alla piattaforma nel codice delle loro app.

Risultato: chiunque analizza il codice dell’applicazione può estrarre user name e password che consentono di accedere all’account dello sviluppatore e di conseguenza al database, da cui è possibile sottrarre messaggi, metadati delle chiamate e anche intere conversazioni di tutti gli utenti che usano l’app.

Dal punto di vista della privacy è un vero disastro. La maggior parte delle app in questione sono infatti utilizzate in ambito business ed è quindi probabile che in quei messaggi e in quelle conversazioni ci siano informazioni riservate, dati sulle trattative in corso e chissà cos’altro.

EavesDropper Twilio

Le credenziali (qui offuscate) sono in bella vista all’interno del codice delle app. Una volta individuate, un cyber-criminale può accedere a tutto il materiale trasmesso.

La vulnerabilità, battezzata dai ricercatori con il nome di EavesDropper, può essere sfruttata con una semplicità disarmante. Come spiegano nel loro report, una volta individuata un’app che usa la piattaforma è sufficiente eseguire una ricerca con la stringa “twilio” all’interno del codice.

Appthority ha individuato la vulnerabilità in aprile e ha contattato Twilio in luglio, segnalando la presenza di 685 app (il 44% per Android e il 56% per iOS) vulnerabili all’attacco. Ancora alla fine di agosto, però, su Google Play ce n’erano ancora 75 e su App Store ben 102.

Risolvere il problema non sarà facile. Non si tratta infatti di un problema nella piattaforma, ma della classica sciatteria di programmatori che non considerano la sicurezza come una priorità.

Twilio, in un comunicato, ha specificato che la pratica di inserire le credenziali senza protezione all’interno delle app è fortemente sconsigliata nella documentazione che viene fornita agli utenti e c’è da scommettere che nelle prossime versioni quella parte sarà evidenziata in rosso e sottolineata.

Visto che la vulnerabilità sarebbe presente fin dal 2011, però, è impossibile sapere se qualcuno ne abbia già approfittato.



Articoli correlati

Altro in questa categoria


Strage di smartphone al Pwn2Own Mobile


L’evento raccoglie ricercatori di sicurezza da tutto il mondo. Nella due giornate messi K.O. il Galaxy S8 e l’iPhone 7.

Lo scenario è Tokyo, dove sei squadre di ricercatori si sono confrontate nel classico Pwn2Own, il contest di hacking dedicato al settore mobile. Il risultato? Ben 32 bug individuati e 515.000 dollari (oltre ai telefoni violati) distribuiti come ricompensa ai partecipanti.

Le “vittime” più illustri cadute sotto i colpi dei partecipanti alla gara sono stati il Galaxy S8 di Samsung, il Huawei Mate9 Pro e l’iPhone 7.

Proprio la violazione del modello di punta di Samsung è stata l’impresa che ha più impressionato gli organizzatori. Il team MWR Labs ha infatti usato una catena di 11 vulnerabilità (partendo dal browser) per arrivare a installare un’app sullo smartphone dell’azienda coreana.

Un vero record nella storia del Pwn2Own, che gli ha fruttato 25.000 dollari di ricompensa (e 11 punti nella competizione) oltre ai complimenti dei presenti.

Meno complicato l’attacco portato dallo stesso team nei confronti del telefono di Huawei. Per avviare l’esecuzione di codice in remoto sul Mate9 attraverso il browser sono bastati “solo” 5 bug logici.

Per quanto riguarda Apple, sul suo iPhone 7 si sono accaniti in parecchi. Preso di mira in particolare il Wi-Fi, che il team Tencent Keen Security Lab è riuscito a sfruttare per installare un’app senza che fosse necessario alcun intervento da parte dell’utente.

Pwn2Own

La schermata non sembra dire molto, ma rappresenta un bel successo per il team che ha portato a termine l’attacco. Quell’icona di KeenLab, infatti, non dovrebbe essere lì.

Per violare lo smartphone Apple, i ragazzi di Tencent Keen Security Lab hanno utilizzato 4 differenti bug. Due in più di quanti gliene sono serviti per portare l’attacco attraverso Safari.

Il collegamento Wi-Fi dell’iPhone 7 è stato preso di mira anche dal team 360 Security, che ha portato a termine un attacco sfruttando una serie di 3 bug ottenendo però un successo solo parziale. Una delle vulnerabilità utilizzate, infatti, era stata illustrata in precedenza da un altro concorrente.



Articoli correlati

Altro in questa categoria


Attacco ai Mac con il trojan Proton: “se colpiti, reinstallate il sistema”


I pirati hanno violato i server della software house Eltima. Chi ha scaricato Elmedia Player prima del 19 ottobre rischia di essere infetto.

Un’altra intrusione nei sistemi di un produttore software mette a rischio gli utenti Apple. La vittima è Eltima, sviluppatore di un software multimediale tra i più apprezzati dagli utenti Mac chiamato Elmedia Player.

Stando alla ricostruzione fatta dai ricercatori ESET, i cyber-criminali sarebbero riusciti a fare breccia nei sistemi di Eltima e avrebbero sostituito l’installer con una versione che include il trojan Proton.

Si tratta di un malware per computer con macOS che una volta installato sul dispositivo consente ai pirati di rubare un gran numero di informazioni.

Proton, nel dettaglio, punta a sottrarre le informazioni riguardanti le informazioni di sistema (numero di serie, utente, informazioni sul gateway e sulle applicazioni installate sulla macchina.

Il trojan, inoltre, trasmette ai server Command and Control le informazioni su eventuali wallet Bitcoin (Bitcoin COe, Electrum e Armory), i dati della keychain di macOS, quelli della configurazione VPN di Tunnelblick, un sistema open source e di GnuPG.

L’aspetto più preoccupante, però, è il fatto che i ricercatori di ESET considerano Proton come un malware estremamente difficile da rimuovere. Il loro consiglio, nel caso di infezione, è quello di “piallare” il computer e reinstallare il sistema da zero.

Difficile capire quale possa essere il numero di utenti a rischio. Come riporta ESET, Eltima ha reagito prontamente alla segnalazione (inviata il 19 ottobre) ripulendo i suoi server nel giro di una manciata di ore. Nel report, però, non si specifica quando sarebbe avvenuta l’intrusione e di conseguenza per quanto tempo sia stata in distribuzione la versione infetta dell’installer.

Elmedia Player trojan Proton Mac

Un milione di utenti Mac usano Elmedia Player. Rimane da capire quanti lo abbiano installato nei giorni in cui portava con sé l’ospite indesiderato.

Le buone notizie riguardano il fatto che il trojan non era presente negli aggiornamenti ma solo nell’installer e che i più diffusi antivirus sono in grado di individuare Proton.

Considerata la (ancora diffusissima) brutta abitudine degli utenti Mac di non usare un antivirus, però, non è escluso che l’attacco abbia fatto numerose vittime.

Per capire se Proton è installato sulla macchina bisogna verificare l’eventuale presenza di alcuni file:

/tmp/Updater.app/

/Library/LaunchAgents/com.Eltima.UpdaterAgent.plist

/Library/.rand/

/Library/.rand/updateragent.app/

La loro presenza (anche di uno solo) è considerato un indizio della presenza del trojan sul sistema.

Chi ha scaricato il programma nei giorni immediatamente precedenti al 19 ottobre, quindi, farebbe bene ad avviare comunque una scansione con l’antivirus e a controllare l’eventuale presenza dei file di cui sopra.



Articoli correlati

Altro in questa categoria


Caso KRACK: quali sono i rischi e come proteggersi


La notizia delle vulnerabilità dei collegamenti Wi-Fi ha scatenato il panico tra gli utenti. Ecco come evitare gli attacchi.

Dopo aver letto la notizia che il protocollo Wi-Fi ha un bug che consente ai pirati di intercettare le nostre comunicazioni, la prima domanda è: come fare per evitare di finire vittima di un attacco?

La risposta varia a seconda della situazione in cui ci troviamo. Come sottolinea Jarno Niemelä di F-Secure, per essere vittima di un attacco con KRACK è necessario che sia l’access point che il dispositivo che stiamo usando siano vulnerabili all’attacco.

Questo significa, in primo luogo, che se il modem-router a cui ci colleghiamo è stato aggiornato, non c’è rischio. Questa condizione è facile da verificare per il nostro dispositivo di casa (ma in ogni caso è consigliabile usare il collegamento via cavo ethernet ogni volta che è possibile) ma un po’ meno quando ci colleghiamo a un hot spot pubblico in mobilità.

Più facile, quindi, garantirsi attraverso la verifica della vulnerabilità del dispositivo che stiamo usando. Chi usa Windows per una volta può stare tranquillo. Microsoft ha infatti corretto il problema negli aggiornamenti resi disponibili lo scorso 10 ottobre.

Per quanto riguarda Apple, la patch è inserita nelle beta di macOS, iOS, tvOS e watchOS, ma nulla si sa riguardo i router della serie AirPort. Questo significa che fino al rilascio di iOS 11.1 (previsto per il 3 novembre) i dispositivi mobili Apple saranno vulnerabili all’attacco.

Come abbiamo spiegato in un articolo precedente, invece, i device più a rischio sono i computer con Linux, i dispositivi IoT, gli smartphone e i tablet Android.

Per Linux gli sviluppatori si sono mossi rendendo disponibili le nuove versioni di wpa_supplicant (il componente incriminato) immuni all’attacco.

Per Android, invece, non si sa ancora nulla e bisognerà aspettare l’aggiornamento da parte di Google e (al solito) dagli altri produttori.

KRACK Wi-Fi

I rischi maggiori si corrono quando ci si collega a una rete Wi-Fi in un luogo pubblico. In queste condizioni non possiamo sapere se l’acces point sia vulnerabile ed è più probabile che nell’area d’azione ci sia qualcuno intenzionato ad attaccarci.

In definitiva, quindi, numerosi utenti resteranno “scoperti” per un po’ di tempo e il rischio che qualcuno possa sfruttare la vulnerabilità per portare attacchi è concreta.

Detto questo, è bene considerare quali sono i reali rischi. Come fa notare F-Secure nel suo commento, KRACK è in grado di mettere a rischio (e nel caso di Linux e Android disintegrare) la protezione crittografica dei dati su Wi-Fi. Per fortuna, però, se i dati in questione sono protetti da altri livelli di crittografia il problema non assume contorni preoccupanti.

Se il collegamento con un sito Internet è gestito tramite protocollo HTTPS, per esempio, l’eventuale pirata che dovesse usare KRACK per aggirare la protezione crittografica di WPA2 si troverebbe con in mano un malloppo di dati…. crittografati con HTTPS.

Purtroppo ci sono molti siti e servizi che ancora non usano HTTPS e tecniche di attacco che potrebbero sfruttare eventuali falle per “dirottare” il protocollo sul meno sicuro HTTP.

Chi utilizza una VPN, invece, può stare tranquillo. Le Virtual Private Network, infatti, usano un sistema di crittografia per i dati inviati che non ha nulla a che fare con WPA2 e, in questo caso, tutti i dati sarebbero ragionevolmente al sicuro.

Attenzione, però: secondo Jarno Niemelä, i pirati potrebbero adottare uno stratagemma per aggirare anche questa protezione, bloccando il traffico protetto nella speranza che di riuscire a indurre le potenziali vittime a disattivare la VPN.

Il suggerimento, quindi, è semplice: se vi trovate su una rete Wi-Fi in cui la VPN non funziona, rinunciate a navigare. Il rischio è che qualcuno stia aspettando il momento giusto per sniffare le vostre comunicazioni.



Articoli correlati

Altro in questa categoria


Falsi antivirus e truffe sull’assistenza ora prendono di mira i Mac


Fioriscono i siti in cui compaiono messaggi e pop-up che segnalano false infezioni cercando di indurre i visitatori a scaricare malware.

Un tempo erano esclusivo appannaggio degli utenti Windows, ma ultimamente anche i clienti Apple stanno sperimentando un vero bombardamento di messaggi ingannevoli e tentativi di truffa online. A raccoglierne un campionario è Sophos, che in un post sul suo blog ne ha raccolti alcuni esempi.

I casi citati da Sophos sono in lingua inglese e sono pensati per gli utenti statunitensi, ma come abbiamo imparato con l’esperienza non ci vorrà molto perché comincino a comparire versioni in lingue diverse che i cyber-criminali usano per campagne specifiche o selezionano attraverso i sistemi Web di geolocalizzazione.

La loro particolarità è che sono personalizzati per gli utenti Mac e utilizzano spesso elementi “clonati” dal sito ufficiale di Apple per cercare di avere una maggiore credibilità.

Il più elaborato sfrutta, per esempio, l’intero layout della pagina di assistenza di Apple e vi abbina addirittura un messaggio vocale registrato che si attiva automaticamente al caricamento della pagina.

truffe Mac

La schermata è stata prelevata direttamente dal sito Apple. Da notare il fatto che i truffatori hanno addirittura corretto un errore di formattazione del testo nell’originale, portando tutto su una sola riga.

Si tratta di una classica “truffa dell’assistenza” simile a quelle che sono già comparse per gli utenti Windows, che cerca di indurre la vittima a contattare un servizio telefonico facendogli credere che si tratti dell’assistenza di Apple. In realtà l’interlocutore all’altro capo del telefono ha il solo obiettivo di vendere un servizio di cui l’utente non ha alcun bisogno.

In altri casi, invece, i truffatori fanno leva sulla paura suscitata dalla possibilità di essere stati colpiti da un malware. Lo schema è quello classico: prima un avviso con un collegamento per eseguire una “scansione gratuita” del sistema.

truffe Mac

Incredibile! Il sito è riuscito a capire che il tuo Mac ha non uno, ma ben tre virus informatici installati! Corri subito a fare una scansione…

Poi la pagina che simula la scansione (dalla quale naturalmente emerge la conferma della presenza dei malware) e l’invito a scaricare l’antivirus che permetterebbe di eliminare i programmi indesiderati. Naturalmente di indesiderato, in questo caso, c’è solo il falso antivirus.

Purtroppo (o per fortuna) i ricercatori di Sophos non hanno potuto verificare quale sia la natura del software in questione, visto che il link per il download era inattivo. Quel che è certo è che non si trattava di nulla di buono.



Articoli correlati

Altro in questa categoria


Gli aggiornamenti Apple non fanno (sempre) l’update di EFI


Una ricerca dimostra che numerosi Mac che dovrebbero essere aggiornati hanno una vecchia versione di EFI. Il sistema è da rivedere?

A partire dal 2015, le macchine Apple hanno un sistema di aggiornamento doppio: ogni update del sistema operativo, infatti, dovrebbe prevedere anche quello del firmware (EFI) installato sulla macchina. Una soluzione all’avanguardia, che dovrebbe consentire di avere un ottimo livello di sicurezza.

Scriviamo “dovrebbe” perché, a quanto pare, le cose non vanno sempre così. A spiegarlo in una ricerca è Duo Labs, che ha analizzato qualche migliaio di computer Apple (per l’esattezza ne hanno esaminati 73.324) per analizzare la versione di EFI installata.

La sorpresa è che il 4,2% (cioè 2.282) dei Mac analizzati avevano una versione di EFI più vecchia di quella che i ricercatori si aspettavano di trovare.

Nel report, i ricercatori dipingono un panorama che è decisamente variegato. Nel dettaglio, quello che risulta è che alcuni modelli di Mac ricevono regolarmente gli aggiornamenti, altri li ricevono solo nel caso in cui emergano particolari vulnerabilità e altri ancora non ne ricevono proprio.

Il gradino più alto del podio in quanto ad anomalie lo conquista l’iMac da 21,5 pollici messo in commercio nel 2015. Ben il 43% di quelli analizzati, infatti, non hanno mai ricevuto un aggiornamento del firmware. Anche la linea MacBookPro13 (del 2016) non se la cava male: in questo caso l’EFI non è aggiornato nel 25-35% dei casi.

Apple update EFI

Avete un iMac da 21,5 pollici del 2015? Probabilmente ha una versione di EFI del… 2015.

Gli analisti hanno analizzato la questione anche sotto un’altra prospettiva: quella della corrispondenza della versione di EFI in base al sistema operativo installato. Emerge così che Mac OS 10.12 Sierra è il sistema meno “scrupoloso” nel portare con sé l’aggiornamento del firmware, con un 9,5% di macchine che hanno un EFI obsoleto. La versione 10.10 Yosemite è invece quella che se la cava meglio, con il 2,1% di anomalie.

Quello che salta agli occhi, però, è l’inaffidabilità di un sistema di aggiornamento che, almeno in teoria, dovrebbe funzionare in maniera automatica e non lasciare spazio a simili “buchi” nell’update.

Certo, le probabilità che l’uso di un EFI non aggiornato possa essere sfruttato come veicolo per un attacco informatico non sono altissime, ma un eventuale malware in grado di operare a quel livello rappresenterebbe una bella  gatta da pelare.

Da oggi gli utenti Apple faranno meglio a considerare l’ipotesi di verificare la versione del loro firmware. La stessa Duo Labs ha intenzione di rendere disponibile un’app con questa funzione.



Articoli correlati

Altro in questa categoria