Exploit nell’applicazione SKY Guida TV: è possibile addebitare acquisti sulle Smart Card senza l’autorizzazione dell’utente! [ESCLUSIVA iPhoneItalia]

73
Nuovo sistema di commenti
iPhoneItalia ha un sistema di commenti realtime tutto nuovo e nativo! Per commentare ti basta creare un account e potrai subito commentare.
Prova la nuova sezione commenti!
Rimuovi pubblicità

Grazie all’utente DYNAMIC+, già creatore di SMSPower, siamo venuti a conoscenza di un’importante falla di sicurezza dell’applicazione SKY Guida TV (link): un qualsiasi malintenzionato esperto di informatica può infatti addebitare acquisti su qualsiasi Smart Card, senza che l’utente ne venga mai a conoscenza, se non tramite bolletta Sky a fine mese! Ma vediamo nel dettaglio questo importante exploit di SKY Guida TV.

Rimuovi pubblicità

Aggiungi iPhoneItalia come Fonte preferita su Google

Ecco il report redatto da DYNAMIC+:

La versione è indifferente, tuttavia l’ultima è la 1.2.2, quindi prendiamo in considerazione questa anche se “il giochetto” vale pure per le precedenti. Il test è stato effettuato sulla versione 1.2.1.

Quello che mi ha stupito è che, una volta installata la App, nella sua configurazione chiedeva il numero della smart card e non user/password, che si usano anche via web per controllare l’abbonamento.

Con questo numero si possono acquistare eventi e film, ma anche pianificare le registrazioni.

Ora, usando l’applicazione, si potrebbe, “a mano”, provare le varie combinazioni di smart-card per arrivare ad un utente esistente, ma sarebbe un “lavoraccio” lungo e noioso. Ho deciso di andare a fondo per vedere come funzionala cosa. Sorpresa delle sorprese, l’algoritmo di comunicazione è veramente banale, tant’è che si può fare un software, in pochi minuti, che controlla centinaia di migliaia di smart-card e addebita loro uno o più eventi casuali.

Il problema è che l’utente ignaro non potrà mai dimostrare di non aver acquistato un determinato evento PPV proprio perchè non c’è una vera autenticazione, ritrovandosi così costretto a pagare nella prossima bolletta decine o centinaia di euro addebitati per “scherzo”. La cosa ancor più fastidiosa è che probabilmente se ne accorgerebbe solo in bolletta, chissà quanti giorni dopo l’accaduto.

Indagando, analizzando i pacchetti scambiati tra l’applicazione e il server REST, ho avuto conferma che il traffico dati è in chiaro, nemmeno crittografato via SSL.

Vi illustro parte del protocollo, omettendo la chiave privata per generare la firma per prevenire abusi al servizio.

Per acquistare un evento l’applicazione chiama la seguente URL: /******/serv***/ppv sull’hostname iphone.******.it con verbo di chiamata POST, ma la beffa è che si può richiamare (semplicemente da browser) anche con modalità GET.

Per finezza si usa un user-agent consono, che nel caso dell’iPhone, per la versione sopra citata è SkyTvGuide/1.2.1 CFNetwork/485.10.2 Darwin/10.3.1

Questi invece sono solo alcuni parametri (in ordine) veri e propri del server REST:

  • *** è il numero della smart card con tutte le cifre, anche non significative
  • *** è l’ID dell’evento
  • ***  in formato GGMMAA è la data di fine giorno dell’evento: corrisponde solitamente al giorno stesso
  • *** è la data di richiesta registrazione in formato GGMMAAOOMMSS
  • *** è in pratica la firma per convalidare la chiamata e si calcola in modo semplicissimo, in quanto è il risultato dell’algoritmo MD5 (maiuscolizzato) applicato alla concatenazione dei valori dei parametri citati sopra e di una chiave privata appesa alla fine. per ulteriori informazioni sull’MD5 si puo’ dare un’occhiata qui: http://it.wikipedia.org/wiki/MD5.

Non vi svelo ovviamente la chiave privata, ma vi garantisco che ricavarla è semplicissimo, quanto semplice è la chiave stessa!

Ovviamente per attivare la registrazione sul MySky, il procedimento è analogo.

Ad ogni modo, una mia considerazione: con tutto quel che costa l’abbonamento Sky, considerati gli elevati ricavi che ha la PayTV, forse si potrebbe investire in persone piu’ qualificate per progettare il software, soprattutto quando si tratta di applicazioni che coinvolgono i soldi dei clienti. E poi, al giorno d’oggi, un certificato HTTPS costa abbastanza poco: perche’ non implementarlo?

the village is no more secret

Questo report è stato redatto solo e soltanto per informare gli addetti SKY sul grave problema che investe l’applicazione. Ogni uso improprio costituisce reato. Specifichiamo, inoltre, che l’applicazione SKY Guida TV fa da “tramite” per chiunque voglia effettuare lo “scherzo” sulle Smart Card, a prescindere se la vittima abbia o meno installato l’applicazione su iPhone.

Rimuovi pubblicità

DYNAMIC+ è disponibile, in privato, a spiegare tutti i dettagli ai responsabili SKY, al fine di risolvere quanto prima questo bug. Intanto il primo passo da fare sarebbe eliminare l’applicazione dall’App Store e bloccare in qualche modo i server REST che erogano questi servizi.

Grazie DYNAMIC+

Prodotti consigliati

Apple iPhone 17 Pro 256 GB: display 6,3', ProMotion fino a 120Hz, chip A19 Pro, autonomia senza...

Apple iPhone 17 Pro 256 GB: display 6,3", ProMotion fino a 120Hz, chip A19 Pro, autonomia senza...

−7%
−7%
1.339,00 1.245,00 €
Vedi offerta
Apple iPhone 16e 128 GB: progettato per Apple Intelligence, con chip A18, un’autonomia grandiosa...

Apple iPhone 16e 128 GB: progettato per Apple Intelligence, con chip A18, un’autonomia grandiosa...

−12%
−12%
619,00 545,00 €
Vedi offerta
Apple iPhone 17 256 GB: display 6,3' con ProMotion, chip A19, fotocamera frontale Center Stage per...

Apple iPhone 17 256 GB: display 6,3" con ProMotion, chip A19, fotocamera frontale Center Stage per...

−10%
−10%
979,00 879,00 €
Vedi offerta
In qualità di Affiliato Amazon, iPhoneItalia riceve un guadagno dagli acquisti idonei.
Offerte Amazon di oggi

Commenti 73

  1. acaonweb
    Si ma mandatela direttamente a SKY, mica è detto che stiano a leggere il blog....
  2. Giuseppe Migliorino mod
    @acaonweb: gia fatto, ma è praticamente impossibile contattarli tramite mail...
  3. acaonweb
    bene:)
  4. CondelloN
    Bè ma se non ho la smart card con il codice con cui ho comprato i film alla fine serve a poco o nulla giusto?Cmq l'amico Rupert mi fa uno scivolone enorme su Iphone dopo aver tanto elogiato l'Ipad...
  5. Titto
    Che buco ragazzi!!!!!! La parte carina è che gli utenti sky che si trovano le bollette gonfiate non hanno modo di dimostrare che non sono stati loro ad effettuare gli acquisti.... Mi sorge una domanda, visto che sky è presente in più paesi, questo buco è una anomalia tutta italiana o si può agire anche su schede sky non italiane??? ciao
  6. snowleopard63
    Però che seccatura, e poi il bidone può essere tirato a chiunque, anche non possessore di iPhone, o che non abbia l'App Sky. Direi che quelli di Sky sono un po' superficialotti nel fare le App, oppure fa loro comodo che qualcuno possa divertirsi ad addebitare impropriamente cifre non dovute. Tanto loro ci guadagnano comunque...
  7. Steve
    Ci vuole anche il codice fiscale dell'abbonato!
  8. massimuzzo
    Questo per smentire chi continua a dire che l'Appstore è più sicuro, con le sue applicazioni, di altri market, solo per il fatto che Apple decide chi è cosa mettere. Niente di + falso. Ne è la prova che lo stesso market del mac è stato bucato il giorno stesso che è uscito. P.S. quando si tratta di non accettare (o peggio di dare l'ok e poi toglierle) applicazioni che non rispettano le regole interne tutti d'accordo (vero vlc ???) Ma controllare meglio le App che vengono accettate ???
  9. MauroT
    @CondelloN: infatti! ti addebita il conto ma non può vedere l'evento. questo dimostra comunque quanto l'essere umano sia idiota. l'importante è farti un danno. ben messi siamo.
  10. Corrado
    signori sembra cadiamo tutti dalle nuvole sembra che nessuno di voi abbia presente come funziona la ppv di SKY per vedere l'evento acquistato la scheda che acquista deve essere nel decoder altrimenti cosa vedi possono anche clonare il codice della carta per acquisti ma se non inserita la scheda originale non vedi nulla tutta più qualcuno mi acquista dei film che posso vedere solo io
  11. Nello
    @Corrado: infatti non ti vedi il film, ma ti viene addebitato il costo! è una beffa ancor più grande!
  12. Gilberto
    sono d'accordo con Corrado
  13. Andrix
    quoto corrado... al massimo gli addebiti vanno in bolletta a favore di sky... non può beneficiarne in alcun modo alcun hacker...
  14. mitico303
    @Nello: beh no, se qualcuno ti acquista un film sulla tua scheda il film te lo puoi vedere.. se ti accorgi che qualcuno te l'ha fatto comprare.. @Corrado: il problema (che poi è una cosa ovvia) è che solitamente TUTTI tengono SEMPRE la scheda nel decoder..
  15. Giuseppe Migliorino mod
    si infati l'hacker non ne beneficia in alcun modo, semplicemente ti addebita acquisti sulla tua smart card e tu PUOI vedere quello che ti ha acquistato l'hacker...
  16. Giovanni
    E se a fare gli scherzetti fosse proprio qualcuno interno a Sky???
  17. Nello
    @Andrix: eh si ne beneficia solo sky. sta di fatto che l'utente ignaro rimane inchiappettato.
  18. Gualtiero
    come ci possiamo difendere da questa falla??
  19. Alecs
    !!! SERVE ANCHE IL CODICE FISCALE !!!
  20. massimuzzo
    @Alecs: questi li trovi su facebook: data di nascita, luogo di nascita e nome e cognome....
  21. Nello
    @Alecs: ma dove lo vedi scritto che serve il codice fiscale? basta il numero della carta.
  22. Roberto79it
    @massimuzzo: beh mi sembra che in questo caso il problema sia del portale SKY, non certo dell'APP Store, se il proprietario dell'APP non ha un canale di comunicazione sicuro con il suo stesso server, Apple si deve mettere a verificarlo? la colpa è di SKY che non bada alla sua sicurezza! @Gualtiero: per ora direi che la soluzione non c'è, puoi lamentarti con SKY e minacciare che disdici l'abbonamento, vedrai che per tenerti come cliente ti faranno qualsiasi cosa.
  23. massimuzzo
    @Roberto79it: Invece la colpa la do' anche alla apple. Cavolo ci vuole a vedere con che tipo di autenticazione la App si collega al server di riferimento ??? Che tipo di controlli fa' se quelli + semplici, come questo, vengono saltati ???
  24. Luca G.
    @Massimuzzo guarda che se domani la App di Sky venisse rimossa dall'App store, il problema rimarrebbe. Il problema non sta nell'app, è il server di sky ad essere vulnerabile.
  25. massimuzzo
    @Luca G.: Certo, ma se apple non avesse mai messo l'applicazione il problema sarebbe di molto ridotto. Magari con un controllo + serio sarebbe stata la stessa Apple ha spiegare il problema a Sky, e sicuramente davanti alla casa della mela quest'ultima avrebbe riparato subito il problema...
  26. massimuzzo
    @Luca G.: Sono d'accordo. Ma se Apple avesse controllato avrebbe lei direttamente avvertito Sky, nello stesso momento dell'invio da parte di questa ultima della App incriminata. E il problema server/client sarebbe gia' risolto, magari....
  27. Alecs
    @Nello@Nello: nella 1.2.2 oltre al numero della card viene richiesto il codice fiscale dell'intestatario...
  28. maurode
    @massimuzzo: Allora . Io ho MySkyHD e uso molto l'app su iphone sia per comprare gli eventi ma sopratutto per registrarli quando sono fuori casa. Per usare l'applicazione serve oltre al numero della smart card anche il Codice fiscale dell'intestatario. Percio' a meno che il famigerato hacker non sia anche un familiare e mi conosca personalmente, dubito molto che riesca , a caso a combinare i due dati ( numero di SC + CF) senza sbagliare. non dico che sia un operazione impossibile al 100% , ma sarebbe come fare jackpot al supoerenalotto. Ps per @alec : per avere i dati da facebook, ammesso che ci siano davvero quelli reali, devi comunque conoscere il nome e cognome dell'abbonato a quella data smart card, il che' , visto che parliamo di numeri casuali o anche progressivi, e' impossibile da sapere. Ergo il tutto e' altamente improbabile che avvenga , ma se avviene e' sicuramente qualcuno che entra in casa nostra e che ci vuole fare del male...improbabile anche questo. Saluti
  29. lukadm
    IN REALTA' questa falla era presente in una precedente versione dell'App in quanto, come è stato descritto in modo esauriente nell'articolo, era sufficiente inserire il numero SmartCard; nell'ultima versione dell'App invece è obbligatorio abbinare il numero smartcard al proprio codice fiscale. Tale procedura ovviamente, genera un numero infinito di possibilità in cui solo una valida (propria SmartC.+proprio Cod.Fisc.). Giustamente andrebbe verificato se le versioni precedenti dell'App, vengono ancora accettate dal server (e quindi senza questo doppio controllo) ovvero se il server accetta l'identificazione solo con numero SmartCard, ma dopo l'aggiornamento suddetto si ha la sensazione che questa anomalia sia già nota a quelli di Sky, che in questo modo hanno provveduto o almeno tentato di mettere una pezza. Certo il consiglio è semplice quanto efficace: controllare la fattura Sky.
  30. massimuzzo
    @lukadm: @maurode: Da quello che dite il problema non esiste tramite web perchè c'è bisogno di login e password. Ripeto, se apple avesse controllato la sua applicazione, il problema non esisterebbe.....
  31. Andrea
    Forse questo commento sarà fuori luogo, ma il mio parere è che sia giusto rilasciare informazioni del genere, magari entrando un pò nel dettaglio, ma penso sia altrettanto conveniente evitare di postare, seppur a titolo informativo, parte del metodo per usare questo exploit per addebitare acquisti sulla smartcard dei clienti SKY. Sono del parere che chiunque con un minimo di conoscenza informatica possa, leggendo questo articolo, arrivare alla soluzione impegnandosi, e per questo sarebbe stato il caso di evitare di entrare nel dettaglio di come usare l'exploit.
  32. Giuseppe Migliorino mod
    @Andrea: le info inserite sono poche rispetto a quelle necessarie, oltre ad essere nascoste
  33. Potacchione
    se provate il recupera password di www.sky.it, tra l'altro, vi spediscono la vostra password!
  34. estinguiamo i fanboy
    io ho l'app e la uso spsso, mi ha chiesto il numero scheda e mai il codic fiscale
  35. Potassio28
    Per non correre il rischio la disinstallo....
  36. Argento
    @Potassio28: Ottimo... Non hai capito niente. Anche se la disinstalli non cambia proprio niente. Perché invece nessuno commenta @maurode
  37. Argento
    @massimuzzo: A me pare di capire che il problema esisteva ma che dalla 1.2.2 sia stato risolto almeno a detta di maurode
  38. MrStyt
    Massimizzo Nessuno dice che è super sicuro al 100%. Ma sicuramente è molto più sicuro di androi market. E te lo dico da sviluppatore che fa app per entrambi.
  39. Magone
    Non per fare dietrologia, ma il 9 settembre 2009 commentando l'uscita dell'applicazione scrissi: "Il fatto che dall’applicazione non vengano richieste le credenziali USER E PASSWORD dell’account SKY.IT mi lascia molto perplesso. Speriamo di non vedermi fatturati dei programmi in pay per view che non ho richiesto." Lo comunicai anche al link dello sviluppatore, ma una protezione non è mai stata implementata... Auguri...
  40. Giovanni
    Raga, ma che siete scemi? L'app è solo il mezzo con cui è stata trovata la falla! Per addebitare basta scrivere quelle due cosette nella barra degli indirizzi di un qualsiasi browser!
  41. Fix1
    @Massimuzzo:c'é una falla nelle policies in AppStore molto grave,Apple deve intervenire immediatamente: su un sito di news sulla piattaforma iOS, un bimbominkia di nick Massimuzzo a cui il papi non ha preso un device con iOS in quanto senza pennino e tastiera qwerty fisica non sapeva nemmeno trovare i tasti Ctrl-Alt-Canc per accenderlo, trolleggia in un mare di flood stupidi ed ignoranti in quanto é incazzato con il mondo e non ha niente di meglio da fare...studia un pó di teoria informatica va, ma meglio ancora fai tanta pratica applicata, cosí magari trovi la tua strada, ne vai fiero, hai qualcosa da condividere con il mondo ed altretutto vivi meglio e con un sorriso in piú... Un saluto a tutti gli appassionati di iPhoneItalia & co, stanchi di tanti commenti inutili, perditempo e ignoranti, sparati a caso tanto per aizzare un pó di zizzania gratuita, Prosit e buon anno tecnologico e non a tutti, Fix1
  42. Fix1
    @Massimuzzo:c'é una falla nelle policies in AppStore molto grave,Apple deve intervenire immediatamente: su un sito di news sulla piattaforma iOS un bimbomxxxia di nick Massimuzzo a cui il papi evidentemente non ha preso un device con iOS,in quanto senza pennino e tastiera qwerty fisica non sapeva nemmeno trovare i tasti Ctrl-Alt-Canc per accenderlo, trolleggia in un mare di flood stupidi ed ignoranti in quanto é incxxxxto con il mondo e non ha niente di meglio da fare...studia un pó di teoria informatica va, ma meglio ancora fai tanta pratica applicata, cosí magari trovi la tua strada, ne vai fiero, hai qualcosa da condividere con il mondo ed altretutto vivi meglio e con un sorriso in piú... Un saluto a tutti gli appassionati di iPhoneItalia & co, stanchi di tanti commenti inutili, perditempo e ignoranti sparati a caso tanto per aizzare un pó di zizzania gratuita, Prosit e buon anno, tecnologico e non, a tutti, Fix1
  43. Pablo
    Io ho l'ultima versione ho guardato sul iphone e c'è solo il nro di smartcard, non credo aver mai inserito il CF. Io non acquisto solo programmo registrazioni.
  44. massimuzzo
    @MrStyt: Il mio discorso era puntato sul fatto che molti dicono che la chiusura dell'apple verso alcune app sia per ragioni di sicurezza. Quest'applicazione dimostra esattamente il contrario...... Visto che dici che l'android market sia meno sicuro fammi qualche esempio....
  45. massimuzzo
    @Giovanni: io non parlo della falla in se ma del fatto che l'applicazione sia stata accettata dalla Apple senza controllo.
  46. Alessio
    Qualsiasi acquisto effettuato su sky viene notificato o da un sms o da una mail
  47. burchio
    quindi...adesso bisognerebbe avvertire chi fa la applicazione (che non è l'incottattabile sky ma una società esterna che ha fatto anche skyway e tg24) che facciano accettare dal ser ver solo richieste complete(smartcard+ cod fisc). non sono in possesso della vecchia versione e quindi non posso provare.
  48. Matias
    DYNAMIC+ è una persona pericolosa XD grazie e grazie anche ad iphoneitalia
  49. Steve
    Ragazzi io ho l'ultima versione e mi ricordo che mi chiedeva anche il codice fiscale cosa che prima non mi aveva mai chiesto....boh!
  50. Ivan
    Problema risolto. chiamato subito sky e fatto bloccare tutti gli acquisti in pay per view.

Nuovi sfondi per iPhone

Con iPhoneItalia+ ogni settimana un nuovo sfondo esclusivo. E tanti altri già pronti da scaricare, alcuni gratis per tutti.

Scopri gli sfondi
Ultime offerte del giorno Vedi tutte
Scelti dalla redazione
I migliori Alimentatori USB-C
Alimentatori USB-C
I migliori Prodotti per l'estate
Prodotti per l'estate
I migliori Kindle
Kindle
I migliori Bilance smart
Bilance smart
I migliori Ciabatte WiFi
Ciabatte WiFi
I migliori Smartwatch
Smartwatch
I migliori Videocamere di sorveglianza
Videocamere di sorveglianza
I migliori Serrature smart
Serrature smart
I migliori Spazzolini elettrici
Spazzolini elettrici
I migliori Videocitofoni WiFi
Videocitofoni WiFi
I migliori Cavi iPhone
Cavi iPhone
I migliori Sonoff
Sonoff
I migliori Powerbank
Powerbank
I migliori Cartucce per stampante
Cartucce per stampante
I migliori Pellicole iPhone
Pellicole iPhone
I migliori Robot pulizie
Robot pulizie
I migliori Supporti auto per cellulare
Supporti auto per cellulare
I migliori Gimbal per iPhone
Gimbal per iPhone
I migliori Aspirapolvere per auto
Aspirapolvere per auto
I migliori Microfoni per iPhone
Microfoni per iPhone

Altri articoli in Applicazioni App Store