Home / Cronaca Informatica / iPad Newspapers Exploit – Full Disclosure

iPad Newspapers Exploit – Full Disclosure

Premessa

A seguito della Responsible Disclosure rilasciata lo scorso 27/11/2010 nella quale dimostravo come era possibile aggirare il sistema di In-App Purchase sui sistemi Apple iOS per la lettura di rivisti e quotidiani sono oggi a pubblicare la Full Disclosure nella quale verrà dimostrato ogni singolo passaggio.

La procedura affligge i principali quotidiani e riviste, i soggetti interessati nella Full Disclosure sono stati preventivamente informati tramite eMail, tramite i canali online del settore Apple e sui loro canali Twitter.

Descrizione

Dopo un’attenta analisi dei pacchetti di rete ricevuti ed inviati (packet sniffer) da ogni singola applicazione è possibile determinare la fonte dei quotidiani o riviste, successivamente è possibile accedere direttamente da Safari o da qualsiasi altro Browser al contenuto desiderato, digitando un semplice indirizzo web, evitando il pagamento tramite l’In-App Purchase del contributo richiesto dall’editore.

Inizialmente è stato analizzato tutto il traffico di rete generato tra l’iPad ed un Access Point Wireless tramite l’applicativo Wireshark scoprendo che viene generato del traffico HTTP,  integrando un semplice filtro è stato possibile ottenere tutti i percorsi necessari per creare la Responsible Disclosure.

Nel video della Full Disclosure ho ritenuto più immediato l’utilizzo di un Proxy HTTP, tramite il software Zaproxy sviluppato dalla OWASP è possibile visualizzare tutte le richieste di tipo GET generate dai vari applicativi, come potete visualizzare una volta ottenuto l’indirizzo “segreto” associato al quotidiano/rivista è possibile digitarlo in un comune browser accedendo al contenuto in maniera completamente gratuita.

Comunemente tutti gli applicativi incriminati procedono a scaricare un indice composto dai seguenti dati:

  • Copertina in Miniatura;
  • Data di pubblicazione;
  • Contributo da addebitare tramite In-App Purchase;
  • URL da utilizzare per il download del contenuto completo.

una volta processato l’acquisto il sistema provvede a scaricare la risorsa completa tramite l’URL contenuto nell’indice.

Per aggirare il pagamento dovremmo pertanto risalire all’URL del nostro contenuto e accederci direttamente da Safari o da un comune Browser (Mozilla Firefox, Chrome, ecc ecc).

La vulnerabilità può essere utilizzata ricorsivamente senza interagire giornalmente con il PC in quando vedremo che gli URL utilizzati sono sempre i medesimi con l’unica differenza che cambia la data in esso contenuta, un URL di esempio è similare a: http://ilnostrocontenuto.distributore.com/ANNO/MESE/GIORNO/CONTENUTO.PDF basterà sostituire ANNO, MESE, GIORNO con i valori interessati per ottenere il quotidiano desiderato, senza l’ausilio di alcun software Proxy o Sniffer.

Il sistema di diffusione cambia leggermente per i distributori ed in particolare:

Paperlit

Azienda che fornisce il servizio a molteplici quotidiani Italiani e Riviste permette di visualizzare l’indice dei contenuti sfruttando un semplice Reader RSS il quale punta direttamente al contenuto completo.

Pagestreamer

Azienda che ha come principale cliente il Sole 24 ore invia all’iPad un file ZIP contenente l’anteprima di ogni singola pagina del quotidiano ed un file .sql contenete un sunto degli articoli e il collegamento alle pagine in formato PDF.

Playsoft.fr

Azienda che prevede il download iniziale della miniatura in formato PDF, successivamente viene scaricato il file PDF contenente la versione completa del contenuto. Per gli applicativi di questa azienda è stato necessario l’utilizzo di un iPad Jailbreaked per determinare il formato del nome del file.

Video Full Disclosure

Risorse Disponibili

Di seguito verranno riportati gli URL necessari per accedere gratuitamente alle riviste o quotidiani evitando il pagamento del contributo richiesto dal fornitore tramite l’In-App Purchase di Apple.

La Repubblica

Quotidiano del Giorno: http://www.paperlit.com/read/repubblica2-nz/

Precedenti Giorni: http://www.paperlit.com/read/repubblica2-nz/YYYY-MM-DD/ con l’accuratezza di sostituire YYYY-MM-DD con il giorno, mese e anno oppure fare riferimento all’indice.

Indice RSS: http://www.paperlit.com/rss/repubblica2-nz/

eMule Magazine

Ultimo Numero: http://www.paperlit.com/read/emule/

Precedenti Numeri: http://www.paperlit.com/read/emule/YYYY-MM-DD/ con l’accuratezza di sostituire YYYY-MM-DD con il giorno, mese e anno oppure fare riferimento all’indice.

Indice RSS: http://www.paperlit.com/rss/emule/

The Times Leader

Quotidiano del Giorno: http://www.paperlit.com/read/TimesLeader/

Precedenti Giorni: http://www.paperlit.com/read/TimesLeader/YYY-MM-DD/ con l’accuratezza di sostituire YYYY-MM-DD con il giorno, mese e anno oppure fare riferimento all’indice.

Indice RSS: http://www.paperlit.com/rss/TimesLeader/

La Provincia di Lecco

Quotidiano del Giorno: http://www.paperlit.com/read/laprovinciadilecco/

Precedenti Giorni: http://www.paperlit.com/read/laprovinciadilecco/YYYY-MM-DD/ con l’accuratezza di sostituire YYYY-MM-DD con il giorno, mese e anno oppure fare riferimento all’indice.

Indice RSS: http://www.paperlit.com/rss/laprovinciadilecco/

La Provincia di Como

Quotidiano del Giorno: http://www.paperlit.com/read/laprovinciadicomo/

Precedenti Giorni: http://www.paperlit.com/read/laprovinciadicomo/YYYY-MM-DD/ con l’accuratezza di sostituire YYYY-MM-DD con il giorno, mese e anno oppure fare riferimento all’indice.

Indice RSS: http://www.paperlit.com/rss/laprovinciadicomo/

La Provincia di Varese

Quotidiano del Giorno: http://www.paperlit.com/read/laprovinciadvarese/

Precedenti Giorni: http://www.paperlit.com/read/laprovinciadivarese/YYYY-MM-DD/ con l’accuratezza di sostituire YYYY-MM-DD con il giorno, mese e anno oppure fare riferimento all’indice.

Indice RSS: http://www.paperlit.com/rss/laprovinciadivarese/

La Provincia di Sondrio

Quotidiano del Giorno: http://www.paperlit.com/read/laprovinciadisondrio/

Precedenti Giorni: http://www.paperlit.com/read/laprovinciadisondrio/YYYY-MM-DD/ con l’accuratezza di sostituire YYYY-MM-DD con il giorno, mese e anno oppure fare riferimento all’indice.

Indice RSS: http://www.paperlit.com/rss/laprovinciadisondrio/

L’eco di Bergamo

Quotidiano del Giorno: http://www.paperlit.com/read/lecodibergamo/

Precedenti Giorni: http://www.paperlit.com/read/lecodibergamo/YYYY-MM-DD/ con l’accuratezza di sostituire YYYY-MM-DD con il giorno, mese e anno oppure fare riferimento all’indice.

Indice RSS: http://www.paperlit.com/rss/lecodibergamo/

Glamour

Ultimo Numero: http://www.paperlit.com/read/glamour/

Precedenti Numeri: http://www.paperlit.com/read/glamour/YYYY-MM-DD/ con l’accuratezza di sostituire YYYY-MM-DD con il giorno, mese e anno oppure fare riferimento all’indice.

Indice RSS: http://www.paperlit.com/rss/glamour/

La Tribuna di Treviso

Quotidiano del Giorno: http://www.paperlit.com/read/latribunaditreviso/

Precedenti Giorni: http://www.paperlit.com/read/latribunaditreviso/YYYY-MM-DD/ con l’accuratezza di sostituire YYYY-MM-DD con il giorno, mese e anno oppure fare riferimento all’indice.

Indice RSS: http://www.paperlit.com/rss/latribunaditreviso/

New York Magazine

Ultimo Numero: http://www.paperlit.com/read/nymag/

Precedenti Numeri: http://www.paperlit.com/read/nymag/YYYY-MM-DD/ con l’accuratezza di sostituire YYYY-MM-DD con il giorno, mese e anno oppure fare riferimento all’indice.

Indice RSS: http://www.paperlit.com/rss/nymag/

Il Messaggero

URL di Accesso: http://ipad.ilmessaggero.it/_deploy/ILM/YYYYMMDD/KKK/pdf/p_XX.pdf

Nell’url bisogna sostituire YYYYMMDD con la data del quotidiano che si desidera scaricare, KKK con l’edizione provinciale prescelta e XX con il numero della pagina.

Es: Per scaricare la prima pagina dell’edizione del 24 Maggio 2011 di Civitavecchia basterà accedere al seguente url:

http://ipad.ilmessaggero.it/_deploy/ILM/20110524/CIV/pdf/p_1.pdf

È possibile leggerlo direttamente dall’iPad senza alcuna modifica, se invece si desidera accedere alla risorsa attraverso un altro dispositivo (PC, Mac, Android, ecc ecc) è necessario variare l’User Agent del Browser con il seguente:

Mozilla/5.0 (iPad; U; CPU OS 4_3_3 like Mac OS X; it-it) AppleWebKit/533.17.9 (KHTML, like Gecko) Mobile/8J3

Versioni Provinciali Disponibili:

  • CIT: Roma
  • CIV: Civitavecchia
  • FROS: Frosinone
  • LAT: Latina
  • RIE: Rieti
  • VIT: Viterbo
  • ABR: Abruzzo
  • MAR: Marche
  • UMB: Umbria
  • ANC: Ancona
  • PES: Pesaro
  • MET: Metropoli – Roma
  • OST: Ostia Litorale

L’Espresso

URL di Accesso: http://ws.ipad.espresso.repubblica.it/_deploy/pdf/YYYYMMDD/p_XX.pdf

Nell’url bisogna sostituire YYYYMMDD con la data del numero che si desidera scaricare e XX con il numero della pagina desiderata.

Es: Per scaricare la prima pagina dell’Espresso del 19 Maggio 2011 basterà accedere al seguente url: http://ws.ipad.espresso.repubblica.it/_deploy/pdf/20110519/p_1.pdf

Corriere della Sera

Il Corriere della Sera sfrutta i Cookie per convalidare l’accesso ai propri contenuti, pertanto per visualizzare il quotidiano dovremo anticipatamente inserire nel nostro browser il seguente cookie:

beRCSapps=RCSapps

avente dominio di appartenenza “.corriere.it” e percorso “/”. Vi ricordo che il nome del Cookie sarà la stringa prima del simbolo uguale mentre il suo valore è ciò che ne segue.

Indice XML: http://media2.corriere.it/mysynd/data/be/pdf2/CORRIEREFC_NAZIONALE_WEB/index.xml

Accedendo al precedente URL è possibile consultare l’indice sfruttato dal software per scaricare il quotidiano richiesto.

Es: Per visualizzare la prima pagina del 25 Maggio 2011 dovremo visitare il seguente url: http://media2.corriere.it/mysynd/data/be/pdf2/CORRIEREFC_NAZIONALE_WEB/20110525/001_25CS001NZSS_1.pdf

Gazzetta dello Sport

La Gazzetta dello Sport sfrutta i Cookie per convalidare l’accesso ai propri contenuti, pertanto per visualizzare il quotidiano dovremo anticipatamente inserire nel nostro browser il seguente cookie:

beRCSapps=RCSapps

avente dominio di appartenenza “.corriere.it” e percorso “/”. Vi ricordo che il nome del Cookie sarà la stringa prima del simbolo uguale mentre il suo valore è ciò che ne segue.

Indice XML: http://media2.corriere.it/mysynd/data/be/pdf2/GAZZETTAFC_NAZIONALE_WEB/index.xml

Accedendo al precedente URL è possibile consultare l’indice sfruttato dal software per scaricare il quotidiano richiesto.

Es: Per visualizzare la prima pagina del 25 Maggio 2011 dovremo visitare il seguente url: http://media2.corriere.it/mysynd/data/be/pdf2/GAZZETTAFC_NAZIONALE_WEB/20110525/001_25GS001NZSS_1.pdf

Il Sole 24 Ore

URL di Accesso: http://ilsole24ore2.pagestreamer.com/deploy/YYYYMMDD/SOLE_SOLE/XXX.pdf

Nell’url bisogna sostituire YYYYMMDD con la data del numero che si desidera scaricare e XXX con il numero della pagina desiderata.

Es: Per scaricare la prima pagina del Sole 24 Ore del 25 Maggio 2011 basterà accedere al seguente url: http://ilsole24ore2.pagestreamer.com/deploy/20110525/SOLE_SOLE/000.pdf

È possibile leggerlo direttamente dall’iPad senza alcuna modifica, se invece si desidera accedere alla risorsa attraverso un altro dispositivo (PC, Mac, Android, ecc ecc) è necessario variare l’User Agent del Browser con il seguente:

Mozilla/5.0 (iPad; U; CPU OS 4_3_3 like Mac OS X; it-it) AppleWebKit/533.17.9 (KHTML, like Gecko) Mobile/8J3

Le Figaro

URL di Accesso: http://lefigaro.playsoft.fr/pdf/LeFigaro_DD-MM-YY.PDF

Nell’url bisogna sostituire DD-MM-YY con la data del numero che si desidera scaricare.

Es: Per scaricare le Figaro del Sole 24 Ore del 25 Maggio 2011 basterà accedere al seguente url: http://lefigaro.playsoft.fr/pdf/LeFigaro_25-05-11.PDF

È possibile leggerlo direttamente dall’iPad senza alcuna modifica, se invece si desidera accedere alla risorsa attraverso un altro dispositivo (PC, Mac, Android, ecc ecc) è necessario variare l’User Agent del Browser con il seguente:

Mozilla/5.0 (iPad; U; CPU OS 4_3_3 like Mac OS X; it-it) AppleWebKit/533.17.9 (KHTML, like Gecko) Mobile/8J3

Conclusioni

Come già avevo anticipato nella Responsible Disclosure il mio intento era esclusivamente quello di incentivare gli sviluppatori a migliorare le loro applicazioni e mi complimento pubblicamente per chi in questi mesi ha migliorato il proprio sistema di diffusione dei contenuti.

Andrea Draghetti

IT SECURITY RESEARCHER
  • Pingback: iPad Newspaper - Leggere il giornale gratis | gerablog

  • Pingback: iPad Newspapers Exploit – Full Disclosure | Systemoveride.net

  • Pingback: Trovato Exploit Per Ingannare L’In-App Purchase Di Apple | iPad News

  • Pingback: News | Trovato l’Exploit per aggirare l’In-App Purchase di apple.[Guida]

  • Matteo Boglione

    Domanda scema: si può accedere solo da iPad? L’URL per Repubblica mi dà “invalid domain”.

    • Denis Ironi

      Per me tutti quelli di paperlit.com sono stati sistemati.

      • http://unico-lab.blogspot.com toto

         Esattamente stesso problema con firefox da pc.

    • http://www.oversecurity.net Andrea Draghetti

      Vi confermo che questa notte Paperlit ha parzialmente risolto il problema!

      Andrea

    • Mailna

      Buonsera,
      grazie per la guida in primis, da Chrome su OSX stesso problema. L’unico link valido sembra essere lefigaro.

      Grazie ancora e buona serata!

  • Pingback: Come leggere gratis i giornali italiani | Xenicom

  • Sempro80

    grandissimo, ottimo lavoro!
    il link di repubblica però non funziona già più…

  • Giacomo

    anche il sole non va

    • http://www.oversecurity.net Andrea Draghetti

      Confermo, anche se probabilmente i PDF sono stati sposati in un altro percorso! Al momento però non riesco a verificare!

      • StefanoT Prof65

        ma non è una cosa bella provare a rubare i pdf dei quotidiani, sicuramente non è legale

        • http://www.oversecurity.net Andrea Draghetti

          Personalmente non ho “rubato” alcun dato ma esclusivamente testato la sicurezza delle applicazioni presenti in Apple Store!
          Inoltre per correttezza ho preventivamente avvisato i Quotidiani o Riviste di questo bug!

          Andrea

    • http://www.oversecurity.net Andrea Draghetti

      Confermo, anche se probabilmente i PDF sono stati sposati in un altro percorso! Al momento però non riesco a verificare!

  • http://twitter.com/kappesante kappe sante

    bravissimo!

  • Ospite

    Il problema era noto da mesi e i link paperlit erano già ‘chiusi’ da tempo. Mi riferisco alle url di repubblica tipo… http://www.paperlit.com/read/repubblica2-nz/ -ba -to -pa -rm -mi etc etc
    Per il resto non so e non mi esprimo

    • http://www.oversecurity.net Andrea Draghetti

      Mi spiace contraddirla, ma come è possibile vedere dall’immagine iniziale fino al 30/5/2011 l’accesso era disponibile a tutti.

  • Luca

    Che tristezza di articolo…vai a studiare o lavorare invece di suggerire link che anche un bambino di 5 anni saprebbe individuare e soprattutto che non funzionano.
    Ma le persone con un pizzico di sale in zucca ti danno seguito? Ripeto, tristezza e vergogna

    • branemark

      Dai Luca…impara cosa sia uno sniffer e poi ne riparliamo :) Non ha capito lo spirito di questo sito…

      • Ospite

        Riporto un commento che ho trovato su un sito e che condivido:
        “Responsible Disclosure è quando un ricercatore segnala la vulnerabilità al vendor e aspetta che venga rilasciata la patch prima di diffondere i dettagli. Non vedo patch o menzione di tale in questo caso”.

        • http://www.oversecurity.net Andrea Draghetti

          Basta leggere la conclusione, per capire che alcune aziende si sono “mosse”!

          • L0lw00t

            alcune aziende non significa tutte le aziende, e non mi pare che nella tua prima “responsible disclosure” tu abbia detto di aver segnalato il problema a qualcuno. anche perché non avresti proprio dovuto farlo quell’articolo. come ho detto nell’altro commento, se proprio ci tieni a fare il whitehat almeno impara a farlo. altrimenti sei solo ridicolo (non che facendo “bene” il whitehat non si possa essere ridicoli comunque…)

        • Ospite

          Ma hai letto l’articolo prima di pontificare? L’unica cosa che andrebbe ‘patchata’ é la testa di chi scrive certi applicativi….

      • Info

        beh se uno che sa usare uno sniffer si vanta di essere un esperto di sicurezza è un pirla 

  • Matteo Boglione

    Beh, questo blog ha secondo me una funzione molto utile. Fa notare i problemi di sicurezza. Dire che esorta a rubare o che è illegale sarebbe come dire che suggerire di legare la bici solo col lucchetto e non ad un palo non è sicuro è rubare.

  • Massimiliano Arione

    La patch che hanno messo su repubblica è veramente ridicola: un javascript controlla che il dominio contenga la stringa “repubblica.it” e, in caso negativo, redirige su un’altra pagina. Basta quindi ricavare l’ip, aggiungerlo al proprio file hosts (ve lo lascio per esercizio) con un nome del tipo pippo.repubblica.it, infine usare http://pippo.repubblica.it/read/repubblica2-nz/ (o quello che avete messo negli hosts)

    • Nova77

      Si, ma modificare il file hosts su iPad è tutt’altra cosa (immagino si possa fare con uno jailbroken).

  • frap1964

    L’Espresso si legge tutt’ora…

  • Info

    Beh, puoi anche rubare il giornale dal banco dell’edicolante senza farti vedere, ma è sempre rubare 

  • Io li leggo al bar

    Ho anche io una dritta. Se vai al bar la mattina puoi leggere i quotidiani gratis! Poi magari puoi ordinare anche una brioche e un caffe

  • Fumatore

    Vedi che ci sono vari esperti. Qui qualcuno sa dirmi come posso prendere un pacchetto di sigaretta da un distributore automatico senza inserire la tessera sanitaria? LOL

  • accidenti

    Secondo me tra un po’ ti arriverà una bella richiesta di risarcimento danni…

    Comunque contento te ;-)

  • http://twitter.com/Bl4k3_ Bl4k3

    Complimenti :)

  • Pingback: Come leggere gratis i giornali italiani | Lulu

  • Pingback: AppleBox

  • Pippo

    A prescindere che ormai i link non funzionano più mi resta una domanda da postare a tutti i “critici” moralizzatori che hanno scritto sul blog:”ma lo siete o lo fate? ”  ,mha?!

    • Guest

      non sono d’accordo, a me i link funzionano ancora ;)

  • Ernesto Freti

    sono 5 giorni che non riesco a leggere l’ eco di bergamo, mi dice di installare una app