Technology Blog

Săptămâna trecută am pus pe Facebook un screenshot privind modul în care a fost scrisă o aplicaţie disponibilă pe Google Market şi venisem cu ideea de a publica săptămânal câte un articol în care să fac o analiză asupra securităţii pentru o aplicaţie românească. Deşi nu a fost susţinută de un număr mare de persoane, am zis să încerc un prim articol pentru a vedea totuşi cum merg lucrurile.

Aşadar, în funcţie de câţi doritori se vor arăta, voi continua seria săptămânală cu aceste articole. Ca pentru un prim articol, am decis să încep cu o aplicaţie care nu ar trebui să aibă un impact aşa mare asupra utilizatorilor. Ce date sensibile poate trimite o aplicaţie care te ajută să comanzi un taxi? Ei bine, după ce am analizat aplicaţia, se pare că există totuşi motive de îngrijorare.

Modul de funcţionare poate fi cel mai bine exprimat prin imagini:

O aplicaţie pentru smartphone, ce comunică folosind Internetul, diferă de modul de testare a unei aplicaţii web. În primul rând, putem analiza ce fişiere sunt create în timpul înstalării şi al utilizării – cum stochează informaţiile? sunt criptate? Apoi putem testa partea de validare a informaţiilor, logica funcţionării şi, în ultimul rând, dacă schimbul de informaţii dintre aplicaţie şi server se realizează în mod securizat.

Aşadar, despre fişierele create. În timpul utilizării am salvat locaţia unde am biroul virtual şi apoi am plasat o comandă. Câteva fişiere au fost create pe parcursul acestui proces:

/data/data/ro.mobiessence.android.clevertaxi.speedtaxi/files/DATA_Tiles_3
/data/data/ro.mobiessence.android.clevertaxi.speedtaxi/files/DATA_Tiles_4
data/data/ro.mobiessence.android.clevertaxi.speedtaxi/files
/data/data/ro.mobiessence.android.clevertaxi.speedtaxi/shared_prefs
/data/data/ro.mobiessence.android.clevertaxi.speedtaxi/shared_prefs/settings.xml

Oare ce o fi în settings.xml?

shell@android:/data/data/ro.mobiessence.android.clevertaxi.speedtaxi/shared_pref
s # cat settings.xml
cat settings.xml
<?xml version=’1.0′ encoding=’utf-8′ standalone=’yes’ ?>
<map>
<string name=”opt5″></string>
<string name=”lastName”>Popescu</string>
<string name=”opt6″></string>
<string name=”phone”>1234567</string>
<string name=”opt3″></string>
<string name=”opt4″></string>
<string name=”opt9″></string>
<string name=”opt7″></string>
<string name=”opt8″></string>
<boolean name=”showMapPositionInfo” value=”false” />
<string name=”email”>ion@popescu.ro</string>
<string name=”firstName”>Ion</string>
<string name=”opt2″></string>
<string name=”myAddresses„>[{&quot;gps_lng&quot;:26.145351,&quot;localityName&qu
ot;:&quot;București&quot;,&quot;building&quot;:&quot;&quot;,&quot;gps_lat&quot;
:44.43555,&quot;street&quot;:&quot;Strada Maior Ion Coravu&quot;,&quot;name&quot
;:&quot;Birou&quot;,&quot;address_details&quot;:&quot;&quot;,&quot;streetNo&quot
;:&quot;5&quot;,&quot;entrance&quot;:&quot;&quot;}]</string>
<string name=”opt1″></string>
</map>

Interesant, deci adresa din comandă e stocată aici, dar şi adresa(le) salvată de mine cu denumirea „Birou”. Totul plain text, bineînţeles.

Acum să trecem la partea de cod – ce se ascunde în spatele aplicaţiei? Pentru început, permisiunile necesare care sunt multe şi cer acces la o groază de lucruri.

Your location
coarse (network-based) location
fine (GPS) location

Network communication
full Internet access

Your personal information
read contact data

Phone calls
read phone state and identity

System tools
prevent tablet from sleeping prevent phone from sleeping
modify global system settings

Your accounts
discover known accounts

Hardware controls
control vibrator

Network communication
view network state

Pentru ce naiba sunt necesare atâtea permisiuni pentru o simplă aplicaţie de comandă a unui taxi nu pot înţelege. Cele de mai sus se găsesc şi în fişierul manifest, aşa cum e normal:

La partea de cod recunosc că nu am destule cunoştinţe pentru a spune dacă este bun sau nu, însă în mare mi-am format o idee. Parcurgând clasele, mi-a sărit în ochi următoarea parte de cod:

Cum adică IMEI? De ce ai tu, ca şi companie, nevoie de IMEI-ul telefonului? Dar să vedem mai departe…

Pe partea de comunicaţie încep prin a spune că aceasta se face total necriptat şi nesecurizat. Aşa cum menţionam anterior, se pare că aplicaţia ia şi codul IMEI al telefonului, însă nu înseamnă neapărat că îl şi transmite. Pentru a verifica acest lucru, aplicaţia am pus-o într-un emulator cu drepturi de root, deci nu are un dispozitiv GPS de care se poate folosi pentru a transmite locaţia.

Dacă se doreşte setarea unei anumite locaţii, aceasta se poate face făcând telnet pe host-ul şi portul emulatorului, după care se dă comanda

geo fix 44.445818 26.097261
OK

Astfel am putut ajunge la ecranul de iniţiere al comenzii pentru un taxi. Am selectat o stradă oarecare din Bucureşti (Vasile Alecsandri în cazul meu) şi am plasat comanda. Alte detalii cerute au fost numele, prenumele, numărul de telefon, adresa de email (opţional, dar detectată automat dacă e pus un cont Google), nr străzii. După un timp de aşteptare a venit şi răspunsul prin care eram anunţat că o maşină va sosi. Din păcate aplicaţia crapă la primirea răspunsului, însa acest lucru se datorează faptului că rulează pe emulator.

Ce s-a văzut pe partea de comunicaţii e şi mai interesant. În primul rând, traficul făcut către Google maps pentru alegerea locaţiei:

POST /glm/mmap/a HTTP/1.1
Connection: close
Content-Type: application/binary
Content-Length: 246
Host: www.google.com
User-Agent: GMM/3.0 (generic FRF91); gzip

l>oen_USandroid:generic-generic-sdk1.6gmm-unknown>
484*2ro.mobiessence.android.clevertaxi.core.MapPosition
’0ZZHmFlvayvSoFQMRT9YYJSmpU2MCZTefLJ8A7w
3c89da0d4bcf25309dd0cb0592b07628
db7d646fd19395a


%I

GET /maps/geo?q=44.450539,26.093816&output=json&sensor=false HTTP/1.1
Host: maps.google.com
Connection: Keep-Alive
User-Agent: Apache-HttpClient/UNAVAILABLE (java 1.4)

HTTP/1.1 200 OK
Content-Type: text/javascript; charset=UTF-8
Vary: Accept-Language
Date: Sun, 20 May 2012 11:32:50 GMT
Server: mafe
Cache-Control: private
X-XSS-Protection: 1; mode=block
X-Frame-Options: SAMEORIGIN
Transfer-Encoding: chunked

34e
{
„name”: „44.44982,26.09424”,
„Status”: {
„code”: 200,
„request”: „geocode”
},
„Placemark”: [ {
„id”: „p1″,
„address”: „Strada Vasile Alecsandri, Bucharest, Romania”,
„AddressDetails”: {
„Accuracy” : 6,
„Country” : {
„CountryName” : „Romania”,
„CountryNameCode” : „RO”,
„Locality” : {
„DependentLocality” : {
„DependentLocalityName” : „Sector 1″,
„Thoroughfare” : {
„ThoroughfareName” : „Strada Vasile Alecsandri”
}
},
„LocalityName” : „Bucharest”
}
}
},
„ExtendedData”: {
„LatLonBox”: {
„north”: 44.4516889,
„south”: 44.4489910,
„east”: 26.0956247,
„west”: 26.0929267
}
},
„Point”: {
„coordinates”: [ 26.0942727, 44.4503400, 0 ]
}
} ]
}

0

După setarea poziţiei pe hartă şi completarea celorlalte date, am iniţiat comanda. În acest moment se face o cerere plaintext către un server general, pe portul 5454, în care se transmit mai multe informaţii:

– nume, prenume
– număr telefon
– codul IMEI al telefonului (!!!)
– acurateţea poziţionării, latitudine, longitudine, localitate, stradă
– adresa email
– compania de taxi pentur care s-a făcut cererea
– ID-ul unic al dispozitivului
– data,ora comenzii

În format brut, aşa arată informaţia cerută

{„data”:{„order”:{„lname”:”Popescu”,”no_cars”:1,”tel”:”12345678″,”imei„:”000000000000000″,”versioncode”:”4″,”networklocation”:{„accuracy„:”0.0″,”lng”:”44.445816″,”lat”:”26.09726″},”timestamp”:1337512997867,”source”:”android”,”details”:””,”email”:””,”token”:”3007e861b1823e13fbd2c6afc3539c7f”,”address”:”Strada Vasile Alecsandri 3, Bucharest”,”company”:{„id”:”3″,”name„:”Speed Taxi”},”gps”:{„lng”:”26.09424″,”lat”:”44.44982″},”fname”:”Ionel”,”deviceId„:”9774d56d682e549c”}},”status”:”success”}

De ce este nevoie să transmită codul IMEI şi deviceID nu înţeleg. O posibilă explicaţie ar fi pentru a preveni comenzile făcute abuziv de la un anumit dispozitiv, dar chiar şi aşa sunt prea multe date transmise, mai ales că se trimit nesecurizat. Apple a început să refuze aplicaţiile care cer acest identificator unic – vezi aici.

Faptul că se specifică şi numele companiei de taxi în pachetul transmis mă face să cred că de fapt datele ajung mai întâi la un terţ, abia apoi fiind transmise către compania ce va onora comanda. Am găsit această aplicaţie, desigur cu datele de identificare schimbate şi pentru alte companii de taxi din Bucureşti iar aplicaţia e făcută de aceeaşi firmă în toate cazurile.

Observaţi număr pus de mine – 12345678 – aşa că nu aveam aşteptări prea mari să şi primesc comanda. În plus, dacă vă uitaţi atent vedeţi şi faptul că acurateţea e zero, deci e aproape sigur faptul că poziţionarea pe hartă am făcut-o manual. Dar asta deja ţine de logic flaw. Cu toate acestea, după un timp de aşteptare de aprox 1 minut, a venit şi răspunsul de la server:

Comanda a fost onorată cu succes şi urmează să ajungă în 3 minute maşina cu indicativul 139. Îmi cer scuze pentru comanda falsă – promit să mai fac

Singura protecţie întâlnită a fost cea prin care se verifică localitatea, răspunsul primit fiind „You are out of accepted area”.

Concluzii

Eu unul nu voi mai folosi această aplicaţie, atât din cauza informaţiilor transmise, dar şi pentru că am vrut să fac o comandă la un moment dat şi mi-a cerut numărul străzii – păi dacă îl ştiam mai apelam la o astfel de aplicaţie?

Aştept feedback pentru a vedea dacă sunteţi interesaţi să testez şi alte aplicaţii româneşti.

Ah şi încă ceva: dacă cineva e dispus să doneze un iPhone (preferabil ultima versiune) voi testa şi aplicaţiile pentru iOS