-->

terça-feira, 30 de março de 2010

A lambança do QUIPTXT: Lições de (não) privacidade e (in) segurança.

Para quem não conhece (eu não conhecia até ontem), QUIP é (ou era) um programa de um dólar para iPhone que tinha como finalidade permitir que os usuários do telefone pudessem mandar fotos uns para os outros (possivelmente para qualquer telefone com browser), já que pelo menos em algumas redes (ou modelos de iPhone) não havia como usar MMS.Edit: Mesmo telefones com suporte a MMS podiam tirar proveito do QUIP.

Pelo que eu entendi, funcionava assim:
  • O usuário tira uma foto com o QUIP (ou escolhe uma qualquer em sua biblioteca);
  • Usando qualquer conexão à internet disponível no telefone (3G, WiFi, etc), o QUIP posta essa foto em um endereço "criptografado" no site QUIPTXT (já está fora do ar), com o nome cadastrado do remetente;
  • O QUIP envia uma mensagem para o destinatário com o endereço "criptografado" da foto. Basta clicar e ver no browser do iPhone.
O gigantesco problema estava na "criptografia".

Para "criptografar" o endereço, o serviço simplesmente gerava um nome de 5 caracteres alfanuméricos para a foto. Digamos que o nome gerado fosse "sfffb". A foto então era hospedada desse jeito:

http://pic.quiptxt.com/sfffb (era um cachorrinho, mas não adianta mais clicar)

Um leigo pensa (se der tempo de pensar alguma coisa) que não há como alguém adivinhar esse endereço. Mas qualquer um com algum conhecimento de programação percebe imediatamente que há algo potencialmente muito errado aí. E havia.

Os (mais óbvios) erros dos programadores:

  • Não criaram senha para acessar a página;
  • Não criaram um "digito verificador" (o último caractere deveria depender do checksum dos quatro anteriores). Assim qualquer pessoa que recebesse um link para "sfffb", poderia tentar "sfffa" ou "sfffc" que esbarraria numa foto de outra pessoa, porque todas as combinações estavam disponíveis. Em sistemas com dígito verificador apenas algumas combinações são válidas;
  • Não criaram nenhum mecanismo de proteção contra download massivo das imagens. Assim quando a falha acima foi descoberta e criaram scripts para gerar todas as combinações possíveis de strings com cinco caracteres para baixar as fotos, o servidor de QUIPTXT não notou nada de errado e permitiu que milhares de fotos fossem baixadas pelo mesmo endereço IP, como se fosse possível isso acontecer no uso real.
Alguns apontam o fato de que eles usaram "apenas" cinco caracteres como parte do problema, mas não é bem assim. Eles poderiam ter usado trinta, mas se atribuíssem as combinações seqüencialmente como fizeram com cinco e/ou não bloqueassem tentativas sucessivas de download de fotos diferentes vindas do mesmo IP, não iria fazer qualquer diferença.

O resultado disso tem potencial para ser (não sei quantas fotos vazaram) a maior coleção "pública" de pornô amador não-intencional da história.

Como se não bastasse, cada página de foto mostrava também o nome do usuário que a enviou. Assim essa já é a maior violação de privacidade da história do iPhone e, quem sabe, da história da telefonia. Sabendo os nomes das pessoas e com alguma pesquisa, muitas fotos constrangedoras foram linkadas aos perfis do Facebook de quem as tirou. Alguns desses perfis já saíram do ar por conta disso.

Os erros dos usuários:
  • Confiar em uma aplicação de telefone qualquer para postar fotos de sua privacidade. Ainda que isso não tivesse sido descoberto, os criadores de QUIP e qualquer pessoa com acesso ao servidor podiam a qualquer tempo observar cada foto postada no serviço, com nome de quem enviou. Os criadores de QUIP adicionalmente sabiam até o telefone. Ainda que o serviço tivesse alguma segurança contra observadores externos, seus criadores ainda teriam acesso a isso tudo.
  • Não perceberem que as fotos estavam em servidores web. Não era uma coisa "de ceular para celular" como um MMS autêntico; 
  • Provavelmente, muita gente achou que o programa era "seguro" e seus autores "confiáveis" porque baixaram o programa da Apple Store. Grande erro. 
Se todo mundo retratado nas fotos que vazaram fosse adulto eu pensaria. "Ahhhhh... que manda fotos de si mesmo pelado é exibicionista mesmo e a maioria nem deve ligar muito para isso". Mas várias fotos lá são evidentemente de adolescentes. E aí o bicho pega. Vai pegar com certeza para os autores desa m**da colossal.
 
Esse tipo de "excesso de confiança" dos usuários não é incomum. A cada rede social nova que aparece, não faltam usuários que voluntariamente fornecem nome de usuário e senha de suas contas de e-mail para "facilitar" o envio de convites para todos os seus contatos. Uma comodidade que pode lhes custar muito caro um dia, como aconteceu agora para muitos usuários do QUIP.

9 comentários:

  1. Fernando Medeiros30/3/10 15:39

    Que lambança! O serviço até que foi original mas desenvolvido de forma totalmente amadora. Tadinha das amadoras...

    ResponderExcluir
  2. A internet é uma terra perigosa povoada de indivíduos ingênuos.

    Putz.

    Lauro Faria
    www.bdibbs.com.br

    ResponderExcluir
  3. Intruder A630/3/10 20:54

    Tem tanto imbecil no mundo.

    Eu sou paranóico com a Internet e que nunca faria uma merda dessas, tanto que não tenho uma única foto na Internet, e nunca colocarei.

    Tem gente que merece ( mas às vezes dá pena ver a tamanha inocência do(a) imbecil ), mas quando finalmente acontece o estrago já estará feito e não tem como voltar atrás. E o que se coloca na Internet nunca mais sai dela ( é para sempre ), é pior que tatuagem, que ainda se pode tirar com laser ( deixando marcas no local, mas se consegue remover ).

    ResponderExcluir
  4. Lambança é pouco! Se eu já tenho um pé e meio atras com E-MAIL que em tese tem origem e destino certo, imagina o resto! :)

    Eu estou tentando imagina o desfecho pra essa caca homérica, mas esta difícil pensar em algo.

    Mas penso que quem se propõe a fazer fotos do naipe que andei vendo por ai (glup!) de duas uma. Ou esta pensando em mudar de planeta ou não esta nem ai com a bagaça feita.

    ResponderExcluir
  5. "que em tese tem origem e destino certo,"

    Exatamente. Qualquer um com conhecimento do sistema sabe que a privacidade do seu e-mail depende da confiabilidade de várias pessoas no caminho até o destino. E-mail, por default, não é criptografado. E qualquer um com acesso administrativo ao servidor de e-mail pode lê-lo.

    ResponderExcluir
  6. Não posso deixar de imaginar que efeitos isso terá para a Apple. Afinal, oficialmente apenas aplicações aprovadas pela Apple podem ser instaladas no iPhone, através da App Store. Enquanto a Apple se preocupa em banir aplicações que tenham o menor sinal de erotismo, deixa passar (e vende por meses) sem escrutínio uma aplicação ridiculamente insegura que tem o propósito explícito de lidar com informações pessoais dos usuários.

    Imagine a quantidade de outras aplicações "aprovadas" que secretamente estão fazendo mal uso dos dados dos usuários.

    ResponderExcluir
  7. Anônimo9/4/10 13:53

    Ainda tem imagens dessa m**da que fizeram:
    http://images.google.com/images?hl=en&q=site%3Apic.quiptxt.com&um=1&ie=UTF-8&sa=N&tab=wi
    O Google já indexou as imagens que havia no QUIPTXT. Ainda bem que o serviço foi excluído, mas as imagens estão no server da Amazon.

    ResponderExcluir
  8. Anônimo9/4/10 13:56

    Ainda dá pra baixar o software no ITunes:
    http://click.linksynergy.com/fs-bin/click?id=SBbaP8CmLIM&offerid=146261.705776297&type=10&subid=0&u1=quiptxtdotcom-home

    ResponderExcluir
  9. Jefferson, o teu blog tá paradão... muito serviço??? ;)

    ResponderExcluir

Siga as regras do blog ou seu comentário será ignorado.