Sunday, March 28, 2010

Epic FAIL










La gente de QUIP ( server colapsado por razones que paso a explicar ) cuando pensó en el sistema de envió de imágenes por medio del IPHONE nunca imagino en la confidencialidad de la informacion enviadas por sus usuarios.

Por lo tanto idearon un sistema que permitía subir las imágenes a un sitio web y entonces enviar el link al destinatario, sin ningún tipo de seguridad sobre las imágenes.

El link consistía como vemos en la segunda imagen, en la URL + 5 digitos al azar, dado que esos 5 dígitos dan una posibilidad finita (36 * 36 * 36 * 36 * 36 = 60,466,176 ) es factible acceder fácilmente a otras imágenes.

Entonces todo quedo expuesto a que un usuario con dos dedos de frente realizara una modificación en la URL que recibió ( URL tampering ) y accediera a las imágenes de otras personas.

Hace unos meses atrás alguien posteo algo en DIGG pero no encontré mas informacion al respecto, pero ayer esto exploto en REDDIT y el servidor de QUIP fue puesto offline.

La aplicación se bajaba de itune :

http://itunes.apple.com/us/app/quip-free-photo-texting/id291358190?mt=8


La descripción de la misma es la siguiente :

Description

Why pay more for MMS? Don't you pay enough for your iPhone already? Quip is free, unlimited photo texting to any phone!

Quip users have sent over THREE MILLION photo texts with Quip! Get Quip and start sending FREE photo texts!

Download now and see why Quip has been a top 10 paid social networking app for ONE WHOLE YEAR!

- - - - - - - - - - - - - - - - - - - - - - - - - - - - -
New Version 2.0 finally approved! Avoid text messaging fees. When your friend sends you a Quip it will come into your own personalized picture inbox.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Quip lets you text pictures to any phone!

1. Take a picture or choose from your library
2. Choose any contact
3. Recipient gets a text msg with a clickable link. Or if they have Quip, it comes as a push notification.

NOTE: Quip sends TEXT MESSAGES with clickable links or PUSH NOTIFICATIONS with no login necessary! You and your friends will save tons of money on MMS fees.


Cabe aclarar que nunca hablan de seguridad, incluso dan el hecho de no necesitar un login como algo a favor.


Incluso los reviews que vi, nunca tomaron en cuenta este aspecto , lo único que encontraron como punto en contra fue que no se podían enviar links a varios contactos :

===========================================================
The only negative aspect I noticed was that you couldn't send the photo to multiple contacts, but perhaps that will be addressed in the next update.

Who wants to look all of that up when you're just trying to send a funny photo? Nobody!, That's why the third request on my wishlist for the 2.2. update was: Simplify the multimedia messaging process

Steve Jobs and his worker elves at Apple were too busy to notice my request, but Quip developers was a step ahead of the field when it released Addy Mobile on Sept. 16
===========================================================

El sitio pic.quiptxt.com esta out, y creo que los problemas legales que pueden tener esta gente no son menores, ya que las imágenes que pude ver incluyen el nombre de la persona.

Ademas como el sitio esta en la nube de Amazon, otro efecto que sufrieron es la cantidad de consultas a su sitio, la cual en este caso se paga por el trafico y como vemos en google trends, las busquedas por QUIP TEXT explotaron.



http://www.google.com/trends/hottrends?q=quip+text&date=2010-3-28&sa=X


Si realizan una búsqueda con Google pueden encontrar algunos ejemplos, ninguno es NSFW, estos ultimos estan en 4CHAN o en este link.

http://www.google.com/search?q=site%3Apic.quiptxt.com


Si conocen algún desarrollador de QUIP, avísenle de darse una vuelta por el sitio de OWASP antes que lo encuentre MATT y su juguete.

3 comments:

nra said...

major information leak

Julio Jaime said...

Bueno, creo que ninguno fotografio su tarjeta de credito.

Generic Viagra said...

Es increible la gran cantidad de hackeos realizados a los telefonos celulares, por eso hay q hacer todas las consultas necesarias para implementar toda la seguridad necesaria p el sistema telefinico, se debe tener cuidado con el tipo de informacion que se intercambie.