Feb 18, 2019 Marco Schiaffino Gestione dati, In evidenza, Leaks, News, Privacy, RSS, Vulnerabilità 0

Si presenta come una concorrente di Whatsapp e Telegram, ma gli utenti lanciano l’allarme in Rete: “nessuna protezione dei dati inviati”.

Applicazioni come Whatsapp e Telegram hanno relegato gli SMS nel campo dell’archeologia della comunicazione, consentendo a chiunque abbia uno smartphone di inviare e ricevere messaggi senza spendere un euro.

Rispetto ai vecchi “messaggini” hanno però un limite: permettono l’invio di testo solo quando è presente una connessione Internet.

Perché non inventare un sistema che consenta l’invio gratuito di messaggi testuali anche quando non si ha accesso alla rete? L’idea è venuta a IF Inspreifon, una società attiva in Italia, Spagna e nell’est Europa (Russia, Ucraina e Azerbaijan) che ha lanciato un’app dedicata chiamata Dostupno.

L’applicazione in questione, però, è rapidamente finita al centro di una furibonda polemica alimentata da alcuni utenti che hanno denunciato l’assenza di qualsiasi misura di sicurezza o tutela della privacy e che in breve tempo, è degenerata in una vera rivolta contro gli sviluppatori culminata con un “attacco informatico” che ha cancellato il database sfruttato dalla piattaforma.

Andiamo con ordine: come funziona Dostupno? La logica di funzionamento dell’applicazione è piuttosto originale. Si basa, in pratica, sull’utilizzo di un set di 10 messaggi predefiniti che vengono memorizzati su un database.

Per inviarne uno al destinatario, l’app usa la funzione di chiamata dello smartphone, “tarandone” la durata in maniera da identificare quale messaggio deve essere visualizzato. In pratica: una chiamata di 5 secondi corrisponde al messaggio 1, una di 10 secondi al messaggio 2 e via dicendo.

Come ha fatto notare u/Lo_acker, un utente Reddit che ha pubblicato un lungo post riguardo il funzionamento di Dostupno, si tratta di un escamotage decisamente creativo, ma che ha qualche pecca in termini di praticità.

Per citarne solo qualcuna, il corretto funzionamento dell’app richiede che la segreteria telefonica sia disattivata e che il destinatario intuisca che si tratta di una chiamata di Dostupno e non risponda alla telefonata.

Secondo u/Lo_acker, però, i limiti di carattere pratico sono un aspetto marginale rispetto a quelli legati alla sicurezza dell’applicazione.

Il download del database di messaggi (ne esiste uno per ogni interlocutore) verrebbe infatti aggiornato tramite una pagina in PHP che consentirebbe di inviare qualsiasi query. Al suo interno sarebbero presenti i database in chiaro di tutti i messaggi impostati dagli utenti.

In pratica: chiunque potrebbe scaricarsi non solo i messaggi, ma anche i numeri di telefono degli utenti che hanno installato e utilizzato l’applicazione. Nel dettaglio stiamo parlando di qualche migliaio di utenze (su Google Play l’app risulta essere stata installata più di 50.000 volte) che sarebbero rimaste esposte per un periodo indefinito di tempo.

In seguito alla pubblicazione del post, qualcuno ha pensato bene di accedere al server in questione e cancellare tutto il database. Un’azione che molti utenti hanno commentato positivamente, considerandola una forma di “autodifesa” nei confronti di una gestione inadeguata dei dati.

Dopo una serie di scambi su Reddit e sulla pagina di Google Play (che qui vi risparmiamo) sembra che dalle parti di IF Inspreifon abbiano cambiato qualcosa nel sistema. Tutto a posto quindi? Non proprio.

Secondo un altro utente Reddit (u/d4rksnow) il server sarebbe stato spostato semplicemente a un altro indirizzo e il database codificato in base64. Risultato: messaggi e numeri di telefono sarebbero ancora accessibili a chiunque.

A conferma di quanto sostiene, u/d4rksnow ha pubblicato al corredo del suo post un’immagine che sarebbe estratta dal database in questione.

Contatta da Security Info, IF Insprefion ha promesso di inviare un commento che riporteremo  integralmente non appena possibile.

Please follow and like us: