doc Il caso Whatsapp e le conseguenze di una filosofia "chiusa"
_ scritto il 18.09.2012 alle ore 16:56 _ 7394 letture
img

E' notizia fresca fresca: Whatsapp contiene una vulnerabilità di non poco conto. Per farla breve: la password personale che viene generata alla creazione di un account consisterebbe semplicemente in un hash MD5 del codice IMEI (per piattaforme non-Apple) o del MAC Address (per piattaforme Apple). Tralasciando il fatto che da un'applicazione così tanto diffusa uno si aspetterebbe l'uso di quelle best practice che sono alla base della sicurezza, come per esempio l'utilizzo di un salt personalizzato per ogni utente per rendere l'hashing un po' più robusto, la vicenda offre l'occasione per fare un esempio pratico sulle conseguenze della filosofia cosiddetta "chiusa" adottata da Apple.

Come potete leggere dall'articolo che ho citato ad inizio post, questa vulnerabilità consente a chiunque venisse in possesso dello username (che corrisponde al numero del cellulare) e o del codice IMEI del dispositivo, di sostituirsi completamente all'utente. Il malintenzionato potrà quindi inviare messaggi a suo nome e ricevere quelli a lui indirizzati, il tutto in maniera completamente trasparente al malcapitato.
Ma come si può entrare in possesso del numero di cellulare e del codice IMEI? Ad esempio grazie ad altre applicazioni, confezionate ad hoc per raccogliere e trasmettere codici e numeri mentre l'ignaro utente utilizza l'app.

Android consente a qualsiasi app di accedere a queste informazioni, dunque è probabile che alcuni sviluppatori lo stiano già facendo. E qualcuno ha anche iniziato a piazzare richieste.
Il Sistema Operativo Apple, invece, non permette alle applicazioni di accedere all'IMEI, dunque gli sviluppatori hanno deciso di utilizzare il MAC Address dell'interfaccia WiFi (en0).

Abbiamo dunque una situazione un po' paradossale: la filosofia "open" di Android permette a qualsiasi applicazione di raccogliere il codice IMEI e trasmetterlo, ma a causa di quella "closed" di Apple, chi ha sviluppato Whatsapp è stato costretto a ricorrere a un codice che chiunque è collegato alla medesima rete può leggere, comprese le app.
E' vero che l'App Store è forse controllato maggiormente, ed è quindi difficile che qualche applicazione per iOS abbia raccolto i dati con secondi fini, ma l'eccesso di restrizioni imposte da Apple ha reso di fatto meno sicuro il metodo di autenticazione di Whatsapp (per colpa dei suoi sviluppatori, non certo di Apple - è bene sottolinearlo).

Un motivo in più per configurare al meglio le opzioni di sicurezza della propria rete WiFi e per stare attenti alle reti completamente aperte.
Darsch
_ chiavi di lettura:informatica, internet, sicurezza, iphone, android, telefonia

_ potrebbero interessarti


_ Commento di Darsch _ profilo
_ scritto il 18.09.2012 alle ore 17:09
Resta ovviamente il fatto che il problema è e rimane di Whatsapp, non certo di Apple. Gli sviluppatori avrebbero dovuto creare, a mio avviso, un sistema di login più efficace e sicuro, e soprattutto lasciar scegliere la password all'utente in fase di creazione dell'account, invece di utilizzare codici o numeri sensibili.
_ Commento di albyok _ profilo homepage
_ scritto il 18.09.2012 alle ore 18:24
So quanto ti stiano a cuore le situazioni di sicurezza e dopo il tweet, aspettavo proprio l'articolo.

Beh, hai poi aggiustato un po' il tiro nel commento, ma onestamente non me la sento troppo di incolpare la chiusura di Apple, soprattutto nell'ambito della sicurezza. Direi più un clamoroso errore dei programmatori di WhatsApp che hanno escogitato una soluzione diametralmente opposta a quella suggerita dalla politica Apple. Se non ti consentono di trasmettere l'IMEI, non penso vogliano che tu usi un altro codice facilmente accessibile :D

Se invece vogliamo dire una cosa brutta dell'App Store, è che i tempi di aggiornamento delle App sono troppo lunghi. Una settimana è infinita per un update sulla sicurezza e a meno che non ci siano corsie preferenziali per questi tipi di aggiornamento, i tempi dovrebbero essere quelli.
_ Commento di Darsch _ profilo
_ scritto il 18.09.2012 alle ore 18:43
Che il problema è di Whatsapp è assolutamente fuori discussione, ci mancherebbe. :)
Volevo solo sottolineare che a volte le troppe limitazioni causano dei problemi trasversali, soprattutto quando gli sviluppatori, per motivi loro, ricorrono a soluzioni di dubbia efficacia. Tutto questo sottolinea il fatto che è prima di tutto lo sviluppatore a dover attuare misure che rendano l'app sicura, indipendentemente da quanto chiuso sia il sistema.

Ad ogni modo non capisco veramente il motivo che ha spinto gli sviluppatori a non adottare un semplice sistema di scelta della password da parte dell'utente. Rapidità e semplicità d'uso? Mah...
_ Commento di Darsch _ profilo
_ scritto il 18.09.2012 alle ore 18:50
Per quanto riguarda i tempi dell'App Store, in effetti sono un bel po' lunghi.

In questo caso basta stare attenti alla propria rete e magari evitare di collegarsi a quelle pubbliche aperte a tutti. Cose che, per altro, personalmente ho sempre fatto, quindi a me non cambia molto. ;)
_ Commento di albyok _ profilo homepage
_ scritto il 18.09.2012 alle ore 21:40
Forse gli sviluppatori hanno pensato che l'inserimento di una password avrebbe creato uno scalino di troppo. Effettivamente adesso Whatsapp sembra quasi integrata nel sistema. Se però il costo da pagare è questo... :D
_ Commento di Darsch _ profilo
_ scritto il 18.09.2012 alle ore 21:41
@albyok - Eh, infatti. Almeno mettessero un sistema di salt serio. Checcavolo. -__-'
_ Commento di albyok _ profilo homepage
_ scritto il 18.09.2012 alle ore 21:48
Ah, perdona l'ignoranza... che è 'sto salt?
_ Commento di Darsch _ profilo
_ scritto il 18.09.2012 alle ore 21:54
@albyok - E' una stringa di caratteri generata casualmente da anteporre o posporre a quella di cui si vuole fare l'hash, per rafforzarne la robustezza.
In questo caso, anche sapendo l'IMEI, se l'hash è stato fatto su una stringa composta da l'IMEI più di seguito altri X caratteri a caso, non ci farebbero niente, perché non conoscono il sale. :)
_ Commento di Darsch _ profilo
_ scritto il 18.09.2012 alle ore 21:54
@albyok - Roba da elementari proprio ... le basi ... -___-'
_ Commento di albyok _ profilo homepage
_ scritto il 18.09.2012 alle ore 21:56
Chiarissimo :D
_ Commento di jasmines _ profilo
_ scritto il 19.09.2012 alle ore 09:31
In tempi non sospetti (Darsch me ne è testimone), avevo fatto delle prove emulando un terminale Android con su montato whatsapp, ovviamente con una pwd generata dall'IMEI del mio telefono. Dopo diversi esperimenti ho deciso di rimuovere l'applicazione dal telefono.
L'aspetto sicurezza è importante, la privacy degli utenti è a rischio e soprattutto la possibilità di truffe è dietro l'angolo. Non vado oltre perché qualcuno potrebbe veramente farci un pensierino...
_ Commento di sanzo77 _ profilo
_ scritto il 19.09.2012 alle ore 09:39
Scusa, ma io direi che è un pregio ciò che hai scritto, non un difetto... preferisco che qualcuno all'interno di una wireless conosca il mio mac address piuttosto che qualcuno nel mondo conosca il mio imei e possa impersonificarmi... forse ho frainteso il senso dell'articolo... ma per una volta "grazie alla chiusura di apple"
_ Commento di Darsch _ profilo
_ scritto il 19.09.2012 alle ore 10:27
@jasmines - concordissimo. hai fatto bene, a questo punto, a disinstallarla. Per quanto riguarda Apple alla fine basta stare attenti alla rete alla quale ci si connette, perché i rischi provenienti dall'AppStore sono davvero molto bassi.

@sanzo77 - entrambi i codici, in mano a malintenzionati, rappresentano un serio rischio. Quello che intendevo sottolineare era il paradosso di questo particolare caso, fermo restando che il problema é degli sviluppatori di Whatsapp. Certo, dovessi scegliere, preferirei che venisse usato il MAC Address e che l'IMEI fosse impossibile da ricavare da una normale app, questo sì. E infatti sono abbastanza tranquillo. ;)
_ Commento di albyok _ profilo homepage
_ scritto il 19.09.2012 alle ore 10:57
Ho letto prima che lo correggessi "gemo restando". Mi ha fatto ridere :D
_ Commento di Darsch _ profilo
_ scritto il 19.09.2012 alle ore 11:11
@albyok - Non so di cosa tu stia parlando... :Q___
_ Commento di Zandalus _ profilo
_ scritto il 19.09.2012 alle ore 12:31
"Se invece vogliamo dire una cosa brutta dell'App Store, è che i tempi di aggiornamento delle App sono troppo lunghi. Una settimana è infinita per un update sulla sicurezza e a meno che non ci siano corsie preferenziali per questi tipi di aggiornamento, i tempi dovrebbero essere quelli."

Se ci sono aggiornamenti importanti per la sicurezza è possibile accedere ad una corsia preferenziale che ti approva l'app in tempi ultra rapidi.
Ovvio che se richiedi di passare per la corsia preferenziale senza un reale motivo di sicurezza o simili poi la Apple ti sfancula e ti toglie la possibilità di accedervi.

commenta

_ Puoi inviare un commento libero oppure accedere o registrarti per avere un tuo profilo e sfruttare appieno le funzionalità del sito.

Inserisci le due parole nell'apposito spazio:
(registrandoti al sito non dovrai più inserirle)

Accedi al sito o registrati

TOP
Utenti online: 51 ospiti
Ultimi utenti registrati: Renato1969, NinjiaKidd, Lucapietro, andinar, Damiano
Visite univoche ai post da dic. 2007: 4.623.204
Post totali: 1285
Commenti totali: 6886
© darsch.it [2007-2017] _ Powered by Tribe Studio _ Cookie policy

Questo blog viene aggiornato senza alcuna periodicità e la frequenza degli articoli non è prestabilita, non può pertanto considerarsi un prodotto editoriale o una testata giornalistica ai sensi della legge n. 62 del 07/03/2001.

I contenuti di questo blog sono rilasciati sotto Licenza Creative Commons Attribuzione-Non commerciale-Non opere derivate 2.5 Italia, ad eccezione dei box 'citazione' o dove diversamente specificato. I commenti degli utenti sono di loro esclusiva proprietà e responsabilità.
Creative Commons License RSS 2.0 Valid XHTML 1.0