10 mayo 2012

Registra cualquier número en TU Me

La entrada de hoy pretende ser un resumen rápido desde el punto de vista de seguridad de la aplicación TU Me, presentada ayer por Telefónica para móviles iPhone y que se ha mostrado en Internet como la competencia de WhatsApp.

Detrás de TU Me se encuentra la compañía jajah, con sede en California pero origen israelí, está especializada en VoIP y fue adquirida por Telefónica en 2010. Por lo que parece, todo ha sido desarrollado fuera de España y sus sistemas también se encuentran en California.

Teniendo en cuenta la experiencia ganada de ver como funciona WhatsApp he comprobado algunos de los fallos que hemos encontrado y contado. En algunos casos los resultados son buenas noticias y en otros no.

El registro solo se puede hacer mediante la recepción de un SMS, sin posibilidad de recibir una llamada u otro método de validación, como ocurre con su amigo verde.


Cuando se introduce el número, se manda una petición https con ese número de móvil, TU Me responde por SMS un código pin de tan solo cuatro números para verificar que ese teléfono es de nuestra propiedad, ya que como último paso hay que introducirlo en la aplicación, para que sea nuevamente valido. El proceso tendría un esquema similar a esto:

Registro en TU Me

---------------------------------------------------------------------------------------------------------------------------
ACTUALIZACIÓN:
Lo comentado a continuación ha sido solucionado a las pocas horas de publicarse esta información en el blog.






----------------------------------------------------------------------------------------------------------------------------

Desgraciadamente el número de veces que se introduce el PIN no está controlado y con una herramienta como burp es muy fácil automatizar el proceso y registrar el número que queramos en unos minutos.


En otro orden de cosas, revisando el directorio de la aplicación y la base de datos de conversaciones que se almacena en el fichero Connect.sqlite, me he encontrado que guarda la geo localización de todos los mensajes. Aunque no sea necesaria ni se solicite. Una vez mandas tu posición, los siguientes mensajes también llevarán esta información. Con todo lo que ello implica. ¡No hemos aprendido!

Connect.sqlite (geolocalización)

La sorpresa, esta vez buena, ha sido encontrar que las imágenes compartidas no son públicas y requieren autenticación para acceder a ellas. Además de estar solo disponibles por SSL, a diferencia de WhatsApp que cualquiera puede acceder a ellas si conoce la ruta y se sirven sin cifrar.

Almacenamiento de imágenes en https://store.yarnapp.com

Intento de acceso a una imagen sin credenciales

También las conversaciones se hacen usando protocolos cifrados, por lo que será difícil encontrar herramientas del tipo WhatsAppSniffer.

De momento, ¡esto es todo!


10 comments :

fossie dijo...

en la web de TU ME si aparece que una de las características del servicio es la de "share location" así que es previsible que se guarde la información GPS para poder compartirla. Lo que no es tan normar es guardar ese historico sin encriptar pero como se supone que nadie va a acceder a tu telefono... es como en los ordenadores de sobremesa que casi nadie tiene los documentos cifrados y tambien podrían robarlos.

Alejandro Ramos dijo...

No van por ahí los tiros. La característica existe y es normal que cuando compartas la localización la guarde. Al igual que mande una petición a googlemaps y saque un minimapa. Pero no que la guarde después de compartirla en el resto de mensajes que nada tienen que ver con la localización.

Que se alcanzable o no el fichero y que esté cifrado o no, es completamente irrelevante, ya que eso solo empeoraría el problema. Ambas cosas podrán minimizar el riesgo de que el usuario esté expuesto, pero la vulnerabilidad seguirá existiendo.

Por otra parte, yo no he dicho nada de si está o no cifrada la base de datos, no entiendo muy bien tu analogía con el PC.

fossie dijo...

Esta claro que no debería guardarse la información GPS si el usuario no indica que se quiera compartir esa información en el mensaje.

No has dicho si está cifrada la base de datos pero si muestras que has accedido a ella entiendo que esta sin cifrar o, en su defecto que has conseguido descifrarla de una forma "fácil".

Lo que digo es que el movil se trata como un PC y los datos se almacenan, casi siempre, sin cifrar lo que suele ser un problema de seguridad por ejemplo, si nos roban el movil por lo que suele ser conveniente que todo vaya cifrado pero a la hora de la verdad poca gente (pocos desarrolladores) lo hacen ya que en el mundo PC tampoco es algo que se haga demasiado supongo que porque no es frecuente que nos roben el PC (por lo menos físicamente)

Juancmmartinez dijo...

fenomenos

Invitado dijo...

Pues vaya tela marinera! Ya que "copian" la idea por lo menos podían mejorar la implementación, que tendrían más posibilidades de ganar usuarios. Aunque claro, tal y como está lo del registro de números de teléfono... ellos mismos pueden registrar a todo el mundo xD
Esperamos siguiente versión de TuMe después de esto :)

invitado2 dijo...

Yo no veo que el TU ME sea una copia de WhatsApp. Parece que tiene mayores objetivos en funcionalidad. De momento espero versión para BlackBerry.

invitado2 dijo...

Buen trabajo.

David Barroso dijo...

Alex,
estoy hablando con el equipo responsable de la aplicación y me acaban de comentar que han solucionado el problema del registro desde hace unas horas.

También quiero agradecerte y felicitarte por el trabajo realizado :)

Alejandro Ramos dijo...

¡Qué rapidez! así da gusto :) Si vuelvo a ver algo te pongo directamente un correo.

Mis disculpas por no avisar antes :S

Invitado dijo...

No ha sido desarrollado fuera de España. De hecho el equipo de desarrollo de Telefónica Digital que participa en este producto se encuentra repartido entre España (Madrid y Barcelona), UK (Londres) e Israel (en donde se encuentra el equipo de ingeniería de Jajah).