Aruba SMS Sicuro???

Prima di iniziare vorrei specificare che quello che segue potrebbe essere considerato illecito e lo sfruttamento di questa guida per scopi che non riguardano lo studio e la libera divulgazione di informazioni potrebbe essere interpretato dalle autorità come un reato, quindi mi dissocio totalmente da ogni responsabilità legata all’uso malevole delle informazioni riportate in seguito.


Qualche tempo fa ho acquistato un pacchetto sms da aruba, 10.000 sms al costo di € 520, e appena ho cominciato a lavorare con lo script che fa da interfaccia per l’invio dei messaggi mi sono subito reso conto che aruba si è altamente sbattuta di proteggere i propri clienti da frodi.

L”applicativo per l’invio di sms è formato dai seguenti scripts:

Image

Piccola nota il file iplog l’ho scritto io e fa parte di un altro file di protezione che ho tolto dalla lista.
Comunque tornando a noi, potete vedere che ci sono vari files tipo rubrica.php, invio.php, rubricamod.php, rubricareg.php and so on.
Ora credo tutti voi sappiate cosa sia una dork e come venga usata, ma per gli sfortunati che non lo sanno farò un piccolo chiarimento: le dorks  sono delle stringhe che sfruttano le funzioni di ricerca avanzata dei motori di ricerca, scusate il gioco di parole ma era necessario.
Quindi vi basterà aprire il vostro browser e posizionarvi su google per poi scrivere un comando che andrà a cercare uno dei file sopra elencati nell’url della pagina, il comando che fa al caso nostro è:

allinurl:”rubricamod”

Ovviamente potete sostituire rubricamod con qualsiasi altro nome di script presente nell’applicativo di aruba e vedrete che otterrete qualche risultato in più. Inoltre come potete vedere non ho specificato l’estensione in quanto aruba fornisce lo stesso script in asp, quindi basterà non mettere l’estensione per recuperare tutti i risultati sia .asp che .php.
Fatto ciò troverete dei risultati che vi condurranno alla rubrica del mal capitato mostrando tutti i suoi contatti in chiaro con nomi, email, indirizzi e numeri di telefono!!!

Il passo successivo sarà cercare di individuare quale pagina permette l’invio di sms in quanto aruba lascia la “libertà” al cliente di scegliere il nome della pagina che effettuerà l’invio. Qui basta solo un pò di cervello e un pizzico di social engineering per capire che un utente utilizzerà nomi semplici per richiamare la pagina quali, sms.php/asp, invio.php/asp e via dicendo… Lascio a voi la possibilità di scoprire il resto.

Inoltre, come se non bastasse, i bravi coders che lavorano per aruba  hanno pensato di aggiungere una bella ciliegina sulla torta evitantando la creazione di appositi filtri per gli input, tutto ciò rende il nostro applicativo per l’invio di sms una vera e propria falla nel sistema.

Andando ad ispezionare il codice per l’inserimento dei contatti nella rubrica si nota subito che i filtri adottati sono scadenti, pertanto ci regalano la possibilità di includere stored xss nel database in modo che siano eseguiti appena l’amministratore visualizzerà la pagina di invio sms.

arubasms stored xss

Mediante questo tipo di attacco un utente malintenzionato potrebbe ottenere accesso a tutti i dati presenti nel database mediante attacchi di tipo Session hijacking oppure, impadronirsi nel vero senso della parola del computer utilizzato dall’amministratore utlizzando una shell xss.

Tirando le somme non so quanto convenga utilizzare il servizio di sms fornito da aruba in quanto oltre ad avere gravi problemi di sicurezza legati alla privacy degli utenti è anche predisposto per trasformasi in un ottimo vettore di attacco all’utilizzatore finale.

Concludo dicendo che ad aruba non costerebbe nulla offrire un servizio più sicuro ai propri utenti, gli basterebbe implementare uno script che blocchi e filtri l’accesso alle pagine vulnerabili dell’applicativo.
Vi ringrazio per aver letto questo articolo e mi scuso se sono stato prolisso o se non vi ho fornito nessuna informazione utile, ma daltronde credo che il mio messaggio sia stato lanciato e spero che voi possiate comprendere le mie perplessità.

Advertisements

2 comments

  1. ciao ho letto ora… cavoli! Hai già fatto presente ad Aruba questo problema? l’unica data scritta in questa pagina è aprile 2010… in più di un anno hanno risolto qualcosa?? a sto punto tu a chi ti appoggi per gli sms? grazie ciao

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s