La piattaforma di gestione delle app della palestra ha esposto le informazioni di migliaia di utenti

La piattaforma di gestione delle app della palestra ha esposto le informazioni di migliaia di utenti

Gli hacker potevano dirottare gli account utente in dozzine di applicazioni mobili per fitness e palestra, anche dove era attivo il meccanismo di autenticazione a due fattori (2FA).

Il terreno comune per tutte le app è Fizikal, una piattaforma di gestione israeliana per palestre e club sportivi che consente ai clienti di gestire l'abbonamento e la registrazione delle lezioni.

Diverse vulnerabilità che interessano la piattaforma Fizikal potrebbero essere concatenate per aggirare i controlli di sicurezza, enumerare gli utenti, forzare la password monouso (OTP) per l'accesso e ottenere l'accesso all'account di un utente.

Forza bruta facile

Sahar Avitan, consulente presso la società di sicurezza informatica con sede in Israele Security Joes, ha scoperto che circa 80 app facevano affidamento sull'API di Fizikal per garantire un accesso più facile al club e ai servizi disponibili.

Al momento in cui scrivo, ci sono quasi 70 app Fizikal nella sezione salute e fitness di Google Play Store, molte delle quali aggiunte negli ultimi giorni. Alcune delle app più vecchie hanno più di 5.000 download e insieme rappresentano almeno 240.000 installazioni attive.

L'interesse di Avitan per l'analisi della piattaforma è stato stuzzicato dopo che ha reimpostato la password per il suo   account EZ Shape, una delle app che ha utilizzato, e ha notato che ne riceveva una debole di 4 caratteri.

Una cosa che il ricercatore ha notato è che la procedura di reimpostazione della password ha restituito risultati diversi per i numeri di telefono presenti nel database rispetto a quelli inesistenti.

Ciò gli ha permesso di comprendere meglio l'intero meccanismo, che ha portato a bypassare i controlli di sicurezza e ad essere in grado di enumerare gli utenti. Queste informazioni gli hanno permesso di apprendere i numeri di telefono che gli utenti hanno definito per ricevere la password OTP tramite SMS per confermare il ripristino.

Tuttavia, un altro difetto ha permesso di forzare i numeri OTP (il processo si completa in circa un minuto) e inviarli all'API di Fizikal prima che l'utente legittimo ricevesse l'avviso.

Secondo Security Joes, il processo di verifica OTP non era difeso da un meccanismo anti-automazione o captcha che avrebbe bloccato i tentativi di forza bruta.

Con l'OTP in mano, Avitan lo ha inviato al server Fizikal e ha ricevuto un TokenID univoco necessario per generare una nuova password. Ha consegnato il codice al server nelle intestazioni HTTP insieme a una nuova password.

Il dirottamento dell'account di un'app per un'app che si basa sulla piattaforma di gestione Fizikal non solo ha consentito a un utente malintenzionato di bloccare l'utente o annullare l'abbonamento, ma ha anche concesso l'accesso a informazioni di identificazione personale:

  • numero di telefono
  • nome e cognome
  • data di nascita
  • indirizzo email
  • indirizzo postale
  • Numero ID

Avitan è stato in grado di automatizzare l'intera procedura con un codice proof-of-concept che ha sfruttato i difetti che ha scoperto in Fizikal

Ido Naor, fondatore e CEO di Security Joes, ha detto a BleepingComputer che un individuo malintenzionato avrebbe potuto sfruttare queste vulnerabilità per apprendere il programma di qualcuno famoso o un membro del governo.

Secondo i ricercatori, Fizikal e il CERT in Israele hanno ricevuto un rapporto completo sui risultati e hanno agito rapidamente per affrontare i problemi.

Posted on

Author L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.