Wind Vision Android App: Δεδομένα πελατών κινδυνεύουν από χάκερς! Κενά ασφαλείας εντοπίζονται στο Wind Vision Android Application μια υπηρεσία από τον πάροχο τηλεπικοινωνιών Wind Hellas. Τα σφάλματα ασφαλείας στην εφαρμογή επιτρέπουν την παραβίαση των νόμιμων λογαριασμών χρηστών αλλά και την κλοπή των κωδικών πρόσβασης και άλλων λογαριασμών.
Σύμφωνα με εμπιστευτικές πληροφορίες χρήστη του SecNews, ο οποίος απέστειλε ανωνυμοποιημένο μήνυμα με απόκρυψη ταυτότητας, η εφαρμογή της Wind Hellas αποτελεί κίνδυνο για εκατοντάδες Έλληνες πολίτες που διαθέτουν την συνδρομητική υπηρεσία και την χρησιμοποιούν στις προσωπικές συσκευές τους. Τέσσερις (4) κρίσιμες ευπάθειες έχουν ήδη εντοπιστεί στην εφαρμογή και ενώ ήδη από τις 14 Νοεμβρίου 2020, η Wind Hellas έλαβε γνώση, δεν υπήρξε καμία επίσημη απάντηση/ανακοινωση ούτε ενημέρωση εάν και εφόσον επιλύθηκε το ζήτημα ασφαλείας.
Το Wind Vision είναι μια υπηρεσία ψηφιακής τηλεόρασης που προσφέρει η WIND Hellas, ένας ελληνικός πάροχος τηλεπικοινωνιών, που επιτρέπει τη ροή ψηφιακού περιεχομένου. Η εφαρμογή Wind Vision για κινητά, διαθέσιμη για συσκευές Android και iOS, επιτρέπει στους χρήστες να παρακολουθούν τηλεόραση “εν κινήσει” από τις smartphone συσκευές τους.
Το Wind Vision Android app είναι διαθέσιμο στο Google Play Store. Η τελευταία διαθέσιμη έκδοση της εφαρμογής (10.0.16) βρέθηκε ευάλωτη σε τέσσερα θέματα ασφαλείας. Τα τρωτά σημεία θα μπορούσαν να συνδυαστούν για την δημιουργία μιας αλυσίδας επιθέσεων που θα επέτρεπε σε μια κακόβουλη εφαρμογή ενορχηστρωμένη από χακερς να παραβιάσει τον λογαριασμό ενός θύματος χρήστη.
Με το χακάρισμα ενός νόμιμου λογαριασμού, ο κακόβουλος χρήστης (hacker) θα μπορούσε να προχωρήσει στη λήψη και την παρακολούθηση τηλεοπτικού περιεχομένου κάνοντας κατάχρηση της συνδρομής του θύματος. Επίσης, ο χακερ έχει την δυνατότητα να αποκλείσει την πρόσβαση στον νόμιμο συνδρομητή στην εφαρμογή αλλάζοντας τον κωδικό PIN και αντικαθιστώντας τις καταχωρημένες συσκευές. Ως αποτέλεσμα, χιλιάδες νόμιμοι χρήστες μπορούν να βρεθούν εκτός πρόσβασης και να χάσουν όλα τα λεφτά που έχουν πληρώσει για την συνδρομή τους. Αξίζει να αναφέρουμε ότι ο κακόβουλος χρήστης εκμεταλλευόμενος οικονομικά τους παραβιασμένους λογαριασμούς, ενδέχεται να πουλήσει στο Dark Web όλους τους κωδικούς πρόσβασης.
Η ομάδα του SecNews οφείλει να σας προειδοποιήσει για τον μεγαλύτερο κίνδυνο που ενέχει μια πιθανή πώληση των κωδικών πρόσβασης που κλάπηκαν από το Wind Vision Android Application. Συγκεκριμένα, όσοι νόμιμοι χρήστες έχουν επιλέξει ως κωδικό πρόσβασης της συνδρομητικής υπηρεσίας κάποιο password που χρησιμοποιούν ήδη και σε άλλες υπηρεσίες, κρατικές πλατφόρμες (www.efka.gov.gr) λογαριασμούς κοινωνικής δικτύωσης (Facebook, Instagram, Twitter, TikTok κλπ.) αλλά και ηλεκτρονικές τραπεζικές υπηρεσίες (internet banking) υπάρχει μεγάλος κίνδυνος παραβίασης και αυτών των υπηρεσιών σε περίπτωση κοινού κωδικού πρόσβασης. Μεγάλη προσοχή, αν διαθέτετε το Wind Vision Android Application να αλλάξετε άμεσα τους κωδικούς πρόσβασης σας καθώς και σε οποιοδήποτε άλλο λογαριασμό χρησιμοποιείτε κοινά credentials.
Η υποδομή IPTV της Wind χρησιμοποίησε τη Zappware’s “Nexx4” λύση. Η πλατφόρμα Zappware’s cross-platform solutions για DVB, IPTV και OTT services χρησιμοποιείται από παρόχους τηλεπικοινωνιών που λειτουργούν σε πολλές χώρες, συμπεριλαμβανομένης της Wind Hellas. Μερικοί από τους παρόχους είναι:
- A1 Croatia
- A1 Bulgaria
- A1 Slovenia
- Orange Belgium
- A1 Austria
- Trinidad and Tobago / Caribbean Amplia
Δεδομένου ότι τα ζητήματα που εντοπίστηκαν στην εφαρμογή Wind Vision επηρεάζουν το λογισμικό της Zappware, εκατομμύρια χρήστες παγκοσμίως ενδέχεται να διατρέχουν κίνδυνο.
Παρόλο που επικοινωνήθηκε επανειλημμένα τους τελευταίους μήνες στην εταιρεία Zappware, (20/11/2020, 30/11/2020 και 22/12/2020) ότι η εφαρμογή Wind Vision Android δεν έχει ενημερωθεί για να συμπεριλάβει κατάλληλες ενημερώσεις για τις ευπάθειες που ανακαλύφθηκαν, τα κενά ασφαλείας δεν είναι γνωστό αν έχουν διορθωθεί την στιγμή που γράφεται αυτό το άρθρο.
Κρίνεται αναγκαία η αποκατάσταση σοβαρών ζητημάτων ασφαλείας, όπως αυτά που αφορούν την εφαρμογή Wind Vision Android, και θα πρέπει να δοθεί προτεραιότητα στην ανάπτυξη νέων λειτουργιών, για τη διαφύλαξη του απορρήτου των χρηστών και την προστασία των λογαριασμών τους.
Να τονίσουμε ότι οι ευπάθειες αποκαλύφθηκαν υπεύθυνα στη Zappware και την Wind Hellas από τον ερευνητή ασφάλειας που εντόπισε την αδυναμία, παρέχοντας λεπτομερείς οδηγίες και συστάσεις αποκατάστασης, για να βοηθήσουν στη διαδικασία επιδιόρθωσης.
Τεχνική περιγραφή κενών ασφαλείας
Η ακόλουθη ενότητα παρέχει μια σύντομη επισκόπηση των ευπαθειών που ανακαλύφθηκαν καθώς και ορισμένες τεχνικές λεπτομέρειες.
CVE-2021-22268 : Insecure Authentication
Η Wind Vision παρείχε έλεγχο ταυτότητας τους χρήστες μέσω Oauth2 “Authorisation Code” flow χρησιμοποιώντας ένα πρόγραμμα περιήγησης ιστού (web browser). Ο επιλεγμένος τρόπος αυθεντικοποίησης χρηστών δεν ήταν ασφαλής καθώς ο εκχωρημένος κώδικας θα μπορούσε να αναχαιτιστεί από εφαρμογές τρίτων και να ανταλλαχθεί με ένα valid session token. Αυτό το ζήτημα, σε συνδυασμό με την παραβίαση URL που περιγράφεται παρακάτω, επιτρέπει την ανάληψη του λογαριασμού θύματος αφού αρχικά εξαπατηθεί ο χρήστης (συνήθως μέσω social engineering) να κάνει κλικ σε λάθος εφαρμογή χειριστή.
CVE-2021-22269 : PIN Code Leakage
Το «master PIN code» που απαιτείται από την εφαρμογή προκειμένου να οριστούν ορισμένες ρυθμίσεις, διέρρευσε κατά την διάρκεια της επικοινωνίας της εφαρμογής με τους εξυπηρετητές (server communications). Ως εκ τούτου, είναι δυνατό να αναχαιτιστεί η υποκλοπή του τετραψήφιου κωδικού μέσω ανάλυσης του network traffic, καθώς η εφαρμογή δεν βρέθηκε να χρησιμοποιεί certificate pinning.
CVE-2021-22270 : URL Hijacking
Η εφαρμογή Wind Vision έκανε μη ασφαλή χρήση του URL-scheme Inter-Process Communication (IPC) mechanism που προσφέρεται από το Android λειτουργικό σύστημα. Το Deep Link implementation είναι επιρρεπές σε “URL Hijacking“, μια επίθεση που επιτρέπει την εκκίνηση κακόβουλων εφαρμογών τρίτων κατασκευαστών ή την κλοπή ευαίσθητων δεδομένων, εξαπατώντας τον χρήστη να αποδεχθεί το λάθος ” handler ” για ένα καταχωρημένο URL scheme.
CVE-2021-22268 : Reproduceable Device ID
Οι χρήστες του Wind Vision μπορούν να εγγράψουν έναν αριθμό συσκευών στην συνδρομή τους, οι οποίες στη συνέχεια παρακολουθούνται σύμφωνα με το Device ID που δημιουργείται τοπικά. Ωστόσο, αυτή η διαδικασία δημιουργίας είναι εύκολα , καθώς δεν χρησιμοποιεί τυχαία σειρά. Ως αποτέλεσμα, ένα έγκυρο αναγνωριστικό συσκευής θα μπορούσε να δημιουργηθεί εκ νέου από εφαρμογές τρίτων που εκτελούνται στην ίδια συσκευή. Εάν τέτοιες κακόβουλες εφαρμογές διατηρούν επίσης ένα valid session token, τότε θα μπορούσαν να εκδώσουν valid requests έναντι του Wind Vision server που έχει πρόσβαση σε όλες τις λειτουργίες των χρηστών, συμπεριλαμβανομένης της ροής περιεχομένου τηλεόρασης.
Καθώς ανακαλύφθηκαν και άλλες ευπάθειες (CVE-2021-22270, CVE-2021-22268) θα μπορούσαν να συνδεθούν για να αποκτήσουν ένα session token, συνδυάζοντας την εκμετάλλευση αυτού του κενού ασφαλείας οδηγώντας στην παραβίαση των Wind Vision λογαριασμών.
Το SecNews δημοσιεύει το συγκεκριμένο άρθρο για την ενημέρωση του κοινού για ένα τόσο σοβαρό ζήτημα ασφαλείας και να προειδοποιήσει όσους χρήστες πιθανώς να κινδυνεύουν από αυτό. Πιθανολογούμε ότι επειδή η πλατφόρμα Zappware είναι third party, η Wind θα πρέπει να απαιτήσει άμεση επιδιόρθωση από τον vendor (vendor patch) εφόσον η αδυναμία ισχύει μέχρι την στιγμή που γράφονται αυτές οι γραμμές.
Όντας ένα καθαρά δημοσιογραφικό και ενημερωτικό website βασικός μας στόχος είναι η άμεση ενημέρωση των χρηστών μας για καίρια θέματα σχετικά την ασφάλεια στον κυβερνοχώρο.
Να σημειώσουμε ότι οι ευπάθειες ασφαλείας ανακαλύφθηκαν μετά από ανεξάρτητη έρευνα από τον Λεωνίδα Τσαούση (@laripping) της F-Secure Consulting.
*Disclaimer: Το SecNews επιβεβαιώσε την αξιοπιστία της πηγής. Η έρευνα αναφορικά με την ευπάθεια έχει πραγματοποιηθεί από τον ειδικό ασφαλείας Λεωνίδα Τσαούση και το SecNews δεν φέρει ουδεμία ευθύνη για πιθανές διαφοροποιήσεις ή παραμετροποιήσεις πραγματοποιηθούν μετά την δημοσίευση του παρόντος άρθρου.
Το SecNews δημοσιοποιεί το άρθρο για την προστασία προσωπικών δεδομένων των αναγνωστών μας αλλά και ευρύτερα του κοινωνικού συνόλου.
Επιπροσθέτως, στόχος του SecNews είναι να λάβει γνώση η εταιρεία αναφορικά με την δημοσιοποίηση σε ιστοσελίδα του εξωτερικού της αδυναμίας ώστε να προβεί στις απαραίτητες διορθωτικές κινήσεις (προς τον πάροχο της πλατφόρμας Zappware) εφόσον και αν δεν έχει πραγματοποιηθεί μέχρι τώρα.
