AKLab.org

Since 2006

[FLASH]Stonex CiaoIM disponibile per android. Anzi no

E' durata meno di 8 ore (e mi sto allargando!) la presenza di ciaoIM sul PlayStore. La rivoluzionaria app di messaggistica, videocall, scambio file, cazziemmazzi è già stata ritirata. Non prima di aver collezionato una serie lunghissima di recensioni negative (penso da record!). Non prima di aver mostrato i suoi limiti facendo godere gli utenti di una rivoluzionaria esperienza a base di lag, traduzioni all'acquavite e continui errori di connessione.

 

Le risate (perchè vogliamo guardare i lati positivi e goliardici della faccenda) sono iniziate già con la descrizione dell'app sul PlayStore: screenshot di iOs e descrizione basata su iOs. Forse forse a qualcuno è sfuggito che PlayStore non è AppStore. Ma tantè, proseguendo si nota anche una nota destinata ai traduttori: "tolto la frase seguente che era ridondante". Una frase in italiano in mezzo ad un testo in Inglese per un'app progettata da italiani.

Mi è già stato, tra l'altro, confermato che tutti i bug di sicurezza presenti nella versione per iPhone sono presenti anche in quella per Android e, cosa ancora peggiore, non è possibile cancellare il proprio account dall'app su Android!

Un'ultima cosa che ancora non mi è chiara: per quale stramaledetto motivo CiaoIM ha consultato la mia rubrica 300 volte in 4 ore? Io non lo so ma per ora ho revocato i permessi di lettura. Con CyanogenOS è possibile farlo ma con android stock mi sembra di no purtroppo.

QR Code - Take this post Mobile!

Use this unique QR (Quick Response) code with your smart device. The code will save the url of this webpage to the device for mobile sharing and storage.

Alek

Da sempre appassionato di informatica e tecnologia. Dall'uscita degli smartphone non ha più potuto farne a meno. Attualmente follemente innamorato di Android e dei dispositivi Pure Google Experience

More Posts - Website

Follow Me:
TwitterGoogle Plus

, , , , , , , ,

  • Raw Main

    Senza parole.

    Da un lato la versione #CiaoIM 1.2 per iOS 8.0+ su cui il lavoro più evidente riguarda gli interventi sul supporto multilingue (ved. localizzazione in Italiano – seppur con qualche pecca – e rimozione delle cartelle progetto relativo ad Arabo, Tedesco, Turco… lingue dichiarate, ma non implementate, nonchè residuo del codice #Approutes).

    Dall’altro il rilascio di una versione #CiaoIM 1.13 per Android 3.0+ (Honeycomb is back…) praticamente inutilizzabile da molti (ved. recensioni) in virtù delle problematiche con il sistema di conferma dell’autenticazione.

    Non deve quindi stupire che l’abbiano rimossa… mi dispiace solo che l’abbiano fatto prima che la lanciassi sulla piattaforma predisposta per i test (basata su Genymotion e con 2 ROM Nexus-based Android 5.1 e 6.0 come endpoint).

    Toccherà attendere la prossima versione pubblica :/ .

  • Raw Main

    Senza parole.

    Da un lato la versione #CiaoIM 1.2 per iOS 8.0+ su cui il lavoro più evidente riguarda gli interventi sul supporto multilingue (ved. localizzazione in Italiano – seppur con qualche pecca – e rimozione delle cartelle progetto relativo ad Arabo, Tedesco, Turco… lingue dichiarate, ma non implementate, nonchè residuo del codice #Approutes).

    Dall’altro il rilascio di una versione #CiaoIM 1.13 per Android 3.0+ (Honeycomb is back…) praticamente inutilizzabile da molti (ved. recensioni) in virtù delle problematiche con il sistema di conferma dell’autenticazione.

    Non deve quindi stupire che l’abbiano rimossa… mi dispiace solo che l’abbiano fatto prima che la lanciassi sulla piattaforma predisposta per i test (basata su Genymotion e con 2 ROM Nexus-based Android 5.1 e 6.0 come endpoint).

    Toccherà attendere la prossima versione pubblica :/ .

    • Ormai..si.commentano da soli… Ma che pena

      • Raw Main

        Nonostante #CiaoIM 1.13 per Android sia stata rimosso dal Play Store, qualcuno è comunque riuscito ad installarlo & ad autenticarsi.

        Cominciano quindi gradualmente ad uscire screenshot / segnalazioni di stranezze varie.

        Stendendo un velo pietoso sulla traduzione parziale / ‘imprecisa’ della localizzazione in Italiano, vi sono anche cose, che non tornano proprio, e.g. il recapito telefonico di contatto indicato nel menu Impostazioni / About / Contattaci (sic) .

        Così risponde infatti Adriano De Pasquale (aka addepa) per conto di Androidare.it (dal momento che il numero è quello indicato per il suo shop) :
        ==
        ———————————————–
        “Ciao, grazie per la segnalazione. Il numero non è assolutamente dell’assistenza, è sicuramente un loro errore e non ho idea di come il mio numero sia finito li.”
        ———————————————–

        • Ciao! mi hai anticipato: avrei scritto nel pomeriggio sulla questione del numero di telefono di androidare.it 🙂
          Visto che hai dato un’occhiata profonda al codice ti vorrei chiedere una delucidazione (se è spiegabile in pubblico, ovviamente): ma ogni quanto è impostato per fare la lettura della rubrica? In 4 ore PrivacyGuard mi ha contato oltre 300 accessi. Tra l’altro, ora che ho messo l’autorizzazione “a richiesta” noto che ad ogni telefonata cerca di accedere 3 volte alla rubrica.
          A me sembra un comportamento anomalo una consultazione cosi ossessiva della rubrica dello smartphone…

          • Raw Main

            Devi tenere conto che il numero degli accessi nel periodo vada comunque rapportato in funzione sia dei processi in esecuzione associati all’applicazione che del numero di contatti presenti nella rubrica del telefono.

            Ad ogni scansione full in lettura della rubrica (per verificare eventuali modifiche e/o aggiunte) corrispondono quindi n accessi in rapporto del numero di telefoni registrati (vedasi anche schede contatti con più recapiti nella medesima scheda).

          • Ho fatto un piccolo test (nei miei limiti, ovviamente).
            Ho impostato anche Whatsapp in accesso “su richiesta”.
            Ho provato a fare una telefonata classica: CiaoIM richiedeva accesso alla rubrica mentre Whatsapp no.
            All’apertura dell’app mi ha richiesto una sfilza infinita (a tal punto che ho dovuto dargli “conferma sempre” perchè mi stava impallando tutto. Immagino quindi, vista la mole di chat aperte che ho su whatsapp, che ad ogni apertura dell’app tenti di verificare le corrispondenze nome+numero con la rubrica, contatto per contatto. Ma è una mia supposizione e basta.
            Dopo questo microtest mi è ancora meno chiaro come lavori CiaoIM e sui motivi per cui continui ad accedere alla rubrica
            anche quando non è “tirato in causa”

          • Raw Main

            La prima scansione completa dopo l’installazione avviene ancora prima di confermare il numero telefonico. Tappando per accettare e proseguire, viene scansionata l’intera rubrica e tutti i numeri individuati vengono inviati tramite POST request al database sul backend Zend Framework 2 in associazione ad un User temporaneo.

            Se/quando poi si procede alla conferma del numero con il codice OTP, viene assegnato dal server il DB User definitivo (*) e da quel momento le funzioni di sync tra Phonebook (rubrica telefono) e Addressbook (CiaoIM/backend) ‘si svegliano’ a qualsiasi accesso alla rubrica. Non solo interventi utente di aggiunta/modifica contatti, ma anche accessi da parte di altre App.

            (*) Il DB User è anche permanente, visto che l’associazione al numero telefonico rimane anche in caso di eliminazione dell’account dalla versione iOS. Riutilizzando il numero per una nuova registrazione/autenticazione, viene comunque assegnato il medesimo DB User.

          • Intanto ti ringrazio per le sempre precise delucidazioni e spero di non averti rubato troppo tempo con tutte le mie domande!

            Quest’ultima cosa della non cancellazione del DB user l’avevo notata quando mi sono cancellato da iOs e mi sono ri-iscritto su Android: la timeline, chat aperte e notifiche si sono ripristinate automaticamente.
            Vorrei pensare che sia solo una svista, una funzione che si sono dimenticati di implementare ma temo che non sia così: da Android non è possibile nemmeno la “finta” cancellazione e so di un utente che sta combattendo (tirando in mezzo anche il garante) per ottenere la cancellazione dei propri dati dal database di CiaoIM/Stonex/Smartphone Innovation.

          • Raw Main

            Al momento attuale – finchè non verranno adeguate le condizioni relative alla privacy – per essere sicuri di esercitare i propri diritti in conformità al Testo Unico occorre muoversi tramite 4 comunicazioni via PEC agli altrettanti indirizzi delle aziende SRL collegate ad Erba (cioè Stonex, Midarex, Smartphone Innovations, Ciaoim) inoltrate in copia per conoscenza a 3 indirizzi di posta elettronica semplice (casella info su ciaoim,com, email sviluppatore stonex.app su Gmail indicata – con s errata alla fine (*) – sul Play Store e email indicata come registrant per il dominio ciaoim.com ).

            La privacy policy attuale fa infatti ancora riferimento genericamente a ‘CiaoIM’ senza indicare esplicitamente se si tratti della neonata SRL (ancora in status inattiva secondo registro imprese CCIA).

            (*) Si, come confermato anche dallo ‘sviluppatore’, ha sbagliato anche a scrivere l’indirizzo email di contatto nella scheda sul Play Store… non l’ha ancora corretto, ma d’altronde ne ha impiegato per correggere il vecchio contact form indicato per la versione iOS & non funzionante (l’ha semplicemente fatto rimuovere…)

          • Raw Main

            Aggiungo – già che ci sono – un’ulteriore nota in merito alla sicurezza.

            Nonostante gli aggiornamenti di entrambe le versioni ‪#‎CiaoIM‬ per iOS e Android confermo anch’io purtroppo – dopo il nuovo video di Giuseppe Iuculano – la persistenza delle vulnerabilità lato backend Zend Framework 2 (quindi indipendente dalla versione client) per l’autenticazione delle numerazioni telefoniche.

            Sebbene siano stati aggiornati i filtri nel codice locale per il controllo delle numerazioni immesse (ved. lunghezza e sequenza caratteri), che portano comunque a falsi positivi (e.g. mi rifiutava un numero estone valido), è ancora possibile con 2 modalità distinte completare la registrazione con numerazioni inesistenti o associati ad altre utenze.

            Allego alcune immagini di test a conferma con numerazione fittizia (dove si può vedere anche il bug del prefisso internazionale).

          • E continuano a ostinate sicurezza e arroganza. Come possono fregarsene cosi spudoratamente?

          • Raw Main

            Da un lato perché i loro ‘supporter’ tipo non credono ad informazioni / evidenze fornite da esterni al loro circolo dorato… dall’altro perché sperano che nessun malintenzionato procederà mai ad impersonificazioni fraudolente e/o a leggere le numerazioni registrate nei DB online (rubriche comprese), per non dir altro.

            Proprio anche per questo continuano a sottovalutare la facilità con cui è possibile disassociare le credenziali di un utente (e quindi procedere ad impersonarlo), finché vedranno la situazione come un semplice passatempo bonario tra ‘nerd’ con Giuseppe Iuculano, che si diverte a ‘sottrarmi’ le numerazioni fittizie registrate (come anche stasera 😉 ).

            La situazione vulnerabilità è comunque a tal punto critica che – anche senza il codice OTP ‘servito su un piatto d’argento (vedasi unica vulnerabilità ‘risolta’) – ci si possa registrare / autenticare sulla piattaforma in almeno 3 modi distinti (se non 4, come stiamo verificando in questi giorni) ed addirittura usando client alternativi… .

            Posso inoltre ribadire quanto già scritto, cioè che le modalità di generazione e gestione del codice OTP sono ‘disarmanti’ sotto ogni aspetto, soprattutto considerando gli standard & gli strumenti attualmente disponibili.

            Aggiungiamoci le altre vulnerabilità ed il quadro (fortemente negativo) è completo.

          • Raw Main

            Sotto quell’aspetto non ho rilevato particolari anomalie (comparando con altri client di messaggistica, che si appoggiano alle rubriche dei contatti per individuare altri utenti), ma considera comunque che, onde minimizzare i rischi connessi alle vulnerabilità e non regalare informazioni allo ‘sviluppatore’, ho effettuato le verifiche con rubriche contenenti solo 2 numerazioni di prova.

            Per quanto riguarda poi le richieste d’accesso associate all’avvio della telefonata, confermo che derivano dal codice.eseguito per aprire la sessione & avviare la chiamata (vedasi gestione User Info).

%d blogger hanno fatto clic su Mi Piace per questo: