cerberus

Scoperta una falla in Cerberus, ma lato server è già stata arginata. A giorni un update dell’app.

Nicola Ligas

È stata recentemente scoperta una grave falla in Cerberus, che permetteva ad un malizioso attaccante di accedere al dispositivo di chi avesse l’app installata, dopo aver speso un po’ di ore nel cercare di indovinare l’IMEI di tale modello.

Senza addentrarci troppo nei dettagli tecnici, secondo chi ha scovato l’exploit il problema risiede nell’autenticazione di Cerberus: una volta che vi siete loggati con i vostri username e password, le API di Cerberus replicano con un “device ID” che è in pratica l’IMEI del dispositivo; questo ID viene poi usato nelle successive richieste di autenticazione, dopo la prima fase iniziale. Di tutte le cifre che compongono l’IMEI, solo 6 sono in realtà specifiche del dispositivo, il che significa che, conoscendo il tipo di modello, è possibile “indovinarne” l’IMEI in circa 15 ore (più o meno a seconda della “fortuna”), provando tutte le combinazioni possibili.

È un problema? Sì, lo è, ma è anche già stato sistemato (nonostante quanto affermi chi ha trovato l’exploit): a garantirlo è lo sviluppatore stesso di Cerberus, che è così sicuro del fatto suo, da aver pubblicato l’IMEI del proprio dispositivo a controprova. Lato server infatti il bug è stato patchato ieri (il giorno stesso della “scoperta”), mentre un aggiornamento dell’applicazione arriverà domani o lunedì, assieme al quale sarà rilasciato anche un comunicato più esteso sulla vicenda.

Attendendo quindi che sia scritta la parola fine su questo problema, vi invitiamo a non andare nel panico se aveste letto di questo exploit altrove, perché a quanto pare è stato già tutto tempestivamente sistemato. Torneremo comunque a parlarne in occasione del prossimo aggiornamento dell’app.