Update: Cosa è Beentouch?
Anche se definita come app che “guarda al futuro“, in realtà Beentouch è l’ennesima app costruita sopra Quickblox, un framework proprietario che permette di costruire in poco tempo una app capace di effettuare chiamate, videochiamate e instant messaging. Nonostante tante testate locali (e non) parlino di un algoritmo rivoluzionario, dalle mie analisi risulta che Beentouch faccia uso di protocolli e codec di Quickblox standard, ma ovviamente se gli autori vorranno replicare con dati e benchmark a supporto sono i benvenuti.
Fatta questa premessa, andiamo al vero argomento dell’articolo.
Spinto dalla curiosità, ho analizzato Beentouch per capire se anche la chiacchierata app sviluppata da ragazzi catanesi soffrisse di vulnerabilità simili a quelle della ormai defunta CiaoIm.
Purtroppo il mio sospetto si è rilevato realtà, Beentouch soffre delle stesse vulnerabilità di CiaoIm, ed in particolare ha un bel po’ di errori nel design del protocollo di autenticazione e registrazione:
- Un attaccante è in grado di registrarsi a nome di un altro utente Beentouch, o numero inesistente all’applicazione Beentouch
- Un attaccante è in grado di usare, ovvero chiamare e videochiamare, a nome di un altro utente Beentouch, o numero inesistente.
In aggiunta, ho trovato anche un altro serio problema, un leak di informazione sensibili:
- Un attaccante può facilmente recuperare le credenziali usate dall’applicazione Beentouch per mandare SMS OTP tramite il gateway Telecom (easyapi), riuscendo a mandare SMS abusivamente dal gateway Telecom.
Disclosure delle vulnerabilità
Giorno 2 Maggio ho contattato il team di Beentouch, che a differenza del team di CiaoIm, si è dimostrato molto disponibile e collaborativo, ringraziandomi per la segnalazione.
Ho dato i dettagli (che nell’articolo sono ancora parzialmente omessi), e abbiamo concordato 20 giorni per la risoluzione. Ahimè dopo un mese le vulnerabilità non sono ancora corrette (nonostante diversi update su Google Play), quindi dopo un paio di rinvii richiesti, ho deciso di rendere pubbliche le vulnerabilità.
Vorrei complimentarmi con i ragazzi di Beentouch che, a differenza di CiaoIm e del suo CEO Davide Erba, hanno gestito bene la comunicazione con il sottoscritto dimostrandosi collaborativi e disponibili. Un po’ meno per la velocità dei fix, che ricordo ad oggi non ci sono… 🙂
Vi ricordo che se volete essere aggiornati sui miei nuovi articoli, potete farlo con telegram! https://telegram.me/iuculano
Update
Ho identificato un altro, molto più grave problema. Ho inviato i dettagli al team di Beentouch e sono in attesa di concordare una data per il disclosure.
Update 2
Beentouch, gravissimo problema di sicurezza non riconosciuto dall’azienda. Privacy a rischio.