Aggiornato il: 21-02-2022 14:39
Yo è forse una delle app più incredibili di cui si è sentito parlare in questi giorni: progettata in sole otto ore di lavoro, che si sono rilevate abbastanza poco per quanto riguarda il problema della sicurezza. Infatti, pochi giorni dopo che Yo era sul mercato (app per cellulare che non fa altro che permettere ai suoi utenti di mandare la parola “Yo†ai propri contatti: no allegati, no chat libera, niente di niente, una semplicità disarmante che rasenta l’imbarazzante, per cosଠdire).
Come riportato da TechCrunch l’app è stata bucato da alcuni studenti, che hanno raccontato di riuscire a vedere il numero di telefono di qualsiasi utente iscritto, di aver fatto Yo (sic) al creatore dell’app (che ha pure risposto!), e riuscire in generare a fare spoofing di Yo (sic) a casaccio, anche su utenti che non si hanno nei propri contatti, senza limiti e senza filtro. Come se non bastasse, gli attaccanti sono riusciti a mandare dei push ai contatti con un testo arbitrario, ed a questo punto si sospetta (almeno per come la vedo io) che fosse possibile fare qualche forma di SQL injection o XSS (code injection). Un problema che evoca quanto successo all’inizio con la popolarissima Whatsapp, circa un anno fa.
Questa è una screenshot dell’attacco:
in cui è chiaro come l’attaccante possa impostare un messaggio a piacere. L’app è stata aggiornata nell’AppStore della Apple in versione corretta dal punto di vista della sicurezza, per cui dovrebbe essere attualmente sicura (link).
Ingegnere per passione, consulente per necessità, docente di informatica; ho creato Trovalost.it e ho scritto quasi tutti i suoi contenuti. Ogni guida viene revisionata e aggiornata periodicamente. Per contatti clicca qui
