Kto zarejestrował domenę, przez którą przechodzi ruch użytkowników Usecrypt Messengera

dodał 16 lutego 2021 o 06:59 w kategorii Info  z tagami:
Kto zarejestrował domenę, przez którą przechodzi ruch użytkowników Usecrypt Messengera

Gdy używamy bezpiecznego komunikatora, spodziewamy się, że wszystkie istotne elementy jego infrastruktury pozostają pod kontrolą firmy lub organizacji, która za nim stoi. Czy tak jest w przypadku Usecrypt Messengera? Zobaczcie sami.

Rzut oka na ruch sieciowy generowany przez szeroko reklamowany w telewizji komunikator Usecrypt Messenger doprowadził nas do informacji ciekawych z punktu widzenia bezpieczeństwa infrastruktury dostawcy tej aplikacji.

Z czym łączy się Usecrypt Messenger

Sprawdziliśmy, z jakimi serwerami łączy się Usecrypt Messenger, gdy nawiązujemy komunikację tekstową z innym użytkownikiem tej usługi. Na platformie iOS użyliśmy do tego celu narzędzia Charles Proxy, monitorującego ruch sieciowy aplikacji. Oto efekt:

Po uruchomieniu aplikacji w wersji 2.42 i wysłaniu kilku wiadomości widzimy jedno połączenie do domeny buy.usecryptmessenger.com oraz 20 żądań do domeny ts.kryptonika.eu. O ile pierwsza nazwa jest dość oczywista, to ta druga nic nam nie mówi.

Dla potwierdzenia sprawdziliśmy, jak to wygląda w aplikacji dla Androida. Tym razem pobraliśmy plik APK w wersji 2.13.4 i zdekompilowaliśmy za pomocą apktoola.

apktool d usecrypt-messenger_2.13.4.apk

Następnie sprawdziliśmy, czy domena kryptonika.eu występuje w kodzie źródłowym aplikacji. Oto fragment wyniku:

MacBook-Pro:usecrypt-messenger_2.13.4 ah$ grep -r kryptonika *
smali/org/thoughtcrime/securesms/registration/RegistrationActivity$RegistrationAsyncTask.smali: const-string v3, "https://ts.kryptonika.eu"
smali/org/thoughtcrime/securesms/registration/ProtectedRegistrationService.smali: const-string v3, "https://ts.kryptonika.eu"
smali/org/thoughtcrime/securesms/util/task/PutUpdatedSeedTask.smali: const-string v3, "https://ts.kryptonika.eu/v1/totp/synchronize"
smali/org/thoughtcrime/securesms/util/task/UnregisterTask.smali: const-string v2, "https://ts.kryptonika.eu"
smali/org/thoughtcrime/securesms/util/ServerConnectionUtil.smali: const-string v3, "https://ts.kryptonika.eu"
smali/org/thoughtcrime/securesms/util/ServerConnectionUtil.smali: const-string v3, "https://ts.kryptonika.eu"
smali/org/thoughtcrime/securesms/dependencies/RedPhoneCommunicationModule.smali: const-string v4, "https://ts.kryptonika.eu"
smali/org/thoughtcrime/securesms/push/SignalServiceNetworkAccess.smali: const-string p1, "https://ts.kryptonika.eu"
smali/org/thoughtcrime/securesms/version/VersionChecker.smali: const-string v3, "https://ts.kryptonika.eu"

Analiza kodu aplikacji związanego z tymi wierszami pozwoliła nam potwierdzić, że także aplikacja dla Androida komunikuje się z domeną ts.kryptonika.eu, by obsługiwać m.in. funkcje wymiany informacji tekstowych użytkowników Usecrypt Messengera.

Do kogo należy domena kryptonika.eu

Skoro przez subdomenę ts.kryptonika.eu przechodzi tak istotny z punktu widzenia bezpieczeństwa aplikacji ruch użytkowników, warto sprawdzić, kto nią zarządza. Rejestr domen EU umożliwia poznanie zarówno podmiotu, który domenę zarejestrował, jak i adresu e-mail, użytego jako kontaktowy w procesie jej rejestracji. Weszliśmy zatem na stronę usługi WHOIS, gdzie znaleźliśmy takie oto dane:

Jeśli zajrzycie tam dzisiaj, dane są już inne – o tym pod koniec artykułu.

Gdy pisaliśmy ten artykuł, dostępne wówczas informacje wskazywały, że domena została zarejestrowana 26 marca 2017 w rejestrze nazwa.pl. W procesie rejestracji jako właściciela wskazano firmę ITMasters Ewa Bara-Glet oraz podano adres e-mail [email protected]

Kim jest właścicielka firmy i kto posiada ww. adres e-mail? To istotne pytanie, ponieważ dysponując domeną, można na przykład przekierować ruch użytkowników na nieautoryzowany serwer.

Tu ważna uwaga – to nie oznacza automatycznie możliwości podsłuchu rozmów. Dzięki temu, że Usecrypt Messenger w zakresie komunikacji tekstowej używa kodu najbezpieczniejszego komunikatora w tym zakresie, czyli Signala, wiadomości nie da się odszyfrować, nawet mając dostęp do serwera pośredniczącego w ich transmisji. Przejmując kontrolę nad domeną, da się za to np. odciąć użytkowników od możliwości korzystania z aplikacji lub poznać ich adresy IP, gdy spróbują jej użyć. Ale wracajmy do próby ustalenia, kto może kontrolować domenę.

Nazwisko Glet znaliśmy już z dokumentu o nazwie „Prezentacja inwestorska” firmy Usecrypt SA. Na stronie 8 znajdujemy tam taki oto slajd:

Slajd ten opisuje skład osobowy Zespołu ds. Kluczowych Technologii. Według tego dokumentu, opublikowanego przy okazji emisji obligacji przez spółkę, w dziale „Zespół ds. Usecrypt Messenger” figurują dwie osoby:

  • Kamil Kaczyński jako Dyrektor ds. Technicznych Usecrypt Messenger,
  • Michał Glet jako szef zespołu programistów Usecrypt Messenger.

Czy to przypadkowa zbieżność nazwisk? To spróbujemy ustalić za chwilę. Zadaliśmy m.in. następujące pytanie Michałowi Gletowi:

Czy był lub jest pan zatrudniony w jakiejkolwiek formie przez
podmioty tworzące produkty pod marką Usecrypt?

Niestety otrzymaliśmy odpowiedź o treści:

Wracając jednak do Pana pytań, z uwagi iż dotyczą prywatnej sfery mojego życia jak i życia członków mojej rodziny, nie zamierzam na nie odpowiadać.

Kod aplikacji Usecrypt Messenger w wersji iOS wskazuje, że Michał Glet (lub ktoś posługujący się kontem o takiej nazwie) pracuje nad jej rozwojem:

SELECT "pageKey", "group", "prevPageKey", "count" FROM "%@";/Users/michalglet/Projekty/messangerios13/messangerios/Pods/YapDatabase/YapDatabase/Extensions/View/YapDatabaseViewTransaction.m-[YapDatabaseViewTransaction prepareIfNeeded]

Pytanie o zatrudnienie w podmiotach tworzących produkty pod marką Usecrypt zadaliśmy także Kamilowi Kaczyńskiemu, który najpierw zaprzeczył, a na kolejne pytanie w tej sprawie:

Skoro nie był Pan zatrudniony przez twórców produktów z rodziny
Usecrypt, to dlaczego figuruje Pan (z imienia, nazwiska, tytułu
naukowego i uczelni) jako „Dyrektor ds. Technicznych Usecrypt
Messenger” w „zespole ds. Usecrypt Messenger” w dokumencie
informacyjnym z października 2019 związanym z emisją obligacji
Usecrypt?

Odpisał tak:

Wysłałem żądanie sprostowania/usunięcia tych informacji do
Usecrypt SA. Nie jestem „Doktorem”, nie byłem też nigdy zatrudniony w
Usecrypt SA, tym bardziej na stanowisku „Dyrektora”.

Wiemy zatem, że z dwóch osób wymienionych w składzie zespołu firmy Usecrypt SA ds. Usecrypt Messengera jedna informuje, że nie pracowała w tej firmie, a druga odmawia odpowiedzi na pytanie. Sam dokument nadal w momencie publikacji artykułu znajduje się na stronie firmy i nie zostały w nim wprowadzone zmiany. Ale wróćmy do domeny kryptonika.eu.

Przyjrzyjmy się adresowi e-mail, z którym powiązana jest domena. Wyszukiwanie w Google pseudonimu „drhl” wskazuje na wiele stron i profili. Tego pseudonimu na pewno używa osoba najprawdopodobniej niepowiązana z naszą analizą (ktoś z Białej Podlaskiej). Trafiliśmy jednak też na innego użytkownika o tym pseudonimie. Pod adresem

http://drhl.prv.pl

co prawda nie ma już strony, która kiedyś się tam znajdowała, ale w kodzie pod tym adresem pozostał jej tytuł o treści „Mike Glet” oraz adres właściwej witryny, na którą wskazywał alias:

www.myjavaserver.com/~drhl

Strona myjavaserver to niedziałający od dawna serwis, umożliwiający hostowanie Javy.

Na fakt, że najprawdopodobniej adres [email protected] należy do Michała Gleta, wskazują zatem:

  • nazwisko właścicielki firmy, na którą zarejestrowana była domena,
  • fakt, że nazwisko to jest dość unikatowe (według bazy PESEL nosi je w Polsce mniej niż 100 osób),
  • pseudonim „drhl” z adresu e-mail wskazujący na profil „Mike Glet”,
  • osoba Michała Gleta w prezentacji inwestorskiej.

Co jeszcze wiemy o panu Michale? Jest autorem m.in. kalkulatora oraz aplikacji Spy Cam na iOS.

Skąd mamy pewność, że Michał Glet, autor aplikacji, to ten sam Michał Glet, na którego adres e-mail zarejestrowano domenę kryptonika.eu? Wystarczy wejść na stronę płatnej wersji aplikacji Spy Cam MG, kliknąć „wsparcie aplikacji” i wylądować na stronie http://modcalc.blogspot.com. Jej twórcą jest użytkownik o znanym nam już pseudonimie drhl.

Dwie osoby z jednego slajdu

Michał Glet jest także asystentem na Wydziale Cybernetyki WAT. Dość często publikuje prace naukowe z Kamilem Kaczyńskim, drugą osobą wymienioną w prezentacji Usecrypt SA. Wspólnie są także autorami czterech różnych patentów, zgłoszonych przez firmę Usecrypt SA., związanych z technologiami używanymi w komunikatorze Usecrypt Messenger. Patenty dotyczą:

  • sprawdzania przy każdym odblokowaniu aplikacji, czy telefon nosi ślady zrootowania,
  • blokowania dostępu do komunikatora osobnym hasłem,
  • kasowania zawartości urządzenia po podaniu „kodu awaryjnego”,
  • wyświetlania powiadomień.

Obaj panowie są także wspólnikami (mniejszościowymi, inna osoba posiada większość udziałów) w Data Research Institute sp. z o.o.

Z domeną kryptonika.eu wiąże się także osoba Kamila Kaczyńskiego – choć nie bezpośrednio. Sama domena prawie nie ma historii w Google (oprócz śladów instalowania w subdomenie video.kryptonika.eu jakiegoś oprogramowania, prawdopodobnie Apache Tomcata).

Z kolei słowo „kryptonika” okazuje się nie być zbyt popularne i już wyniki z pierwszej strony wyszukiwania wskazują na działalność gospodarczą pod nazwą „Kryptonika Monika Kaczyńska”. Pełnomocnikiem tej firmy jest Kamil Kaczyński.

Kamilowi Kaczyńskiemu zadaliśmy następujące pytanie:

Aplikacja Usecrypt Messenger na iOS do komunikacji pomiędzy użytkownikami używa domeny ts.kryptonika.eu. Pan jest pełnomocnikiem przedsiębiorcy działającego pod nazwą Kryptonika. Czy może Pan wyjaśnić, na czym polega ta zbieżność nazw?

Odpowiedział następująco:

Zbieżność nazw polega na występowaniu takiego samego ciągu 10 znaków.

Słowo „kryptonika” występuje także w wykazie folderów witryny http://cku3.home.pl.

Zawartość folderu jest niedostępna, a nazwa serwera wskazuje na Centrum Kształcenia Zawodowego i Ustawicznego nr 1 w Warszawie, działające pod patronatem naukowym WAT.

Podsumowanie

W oparciu o dane z otwartych źródeł ustaliliśmy, że bezpieczny, szyfrowany komunikator przesyła rozmowy swoich użytkowników za pomocą domeny, której właścicielem jest firma należąca do rodziny jednego z pracowników, a która została zarejestrowana na prywatną skrzynkę pocztową tego pracownika.

Adres [email protected] znajdował się w co najmniej kilku bazach danych, które zostały wykradzione i opublikowane (m.in. MyFitnessPal i MyHeritage). Łatwo można to sprawdzić w serwisie haveibeenpwned.com.

Wraz z ww. bazami danych wykradzione zostały także hasła użytkowników, powiązane z ich kontami. Takie hasła mogły potencjalnie służyć do przejęcia kontroli nad skrzynką pocztową.

Jaki był zatem skutek figurowania w rejestrze EU prywatnej skrzynki programisty Usecrypt Messengera? Przejęcie kontroli nad skrzynką [email protected] pozwoliłoby na przejęcie kontroli nad domeną, bez dostępu do konta w firmie Nazwa.pl. Można było tego dokonać za pomocą usługi „Moje konto .eu”. Wystarczyło podać adres domeny i adres e-mail, by otrzymać link dostępowy do interfejsu użytkownika, gdzie można było wygenerować kod AUTH INFO, niezbędny do skutecznego przeniesienia domeny.

Istnieje możliwość, że zapisy w rejestrze EU były nieaktualne – wykonanie cesji domeny w ramach różnych kont użytkownika w Nazwa.pl nie powoduje automatycznej aktualizacji danych w rejestrze EU. Nie ma to jednak znaczenia dla występowania wyżej opisanego ryzyka – tak długo, jak w rejestrze figurował adres prywatnej skrzynki, tak długo jej przejęcie mogło prowadzić do przejęcia domeny.

Brak odpowiedzi

W piątek wysłaliśmy do firmy Usecrypt S.A. następujące pytania:

1. Czy to prawda, że aplikacja Usecrypt Messenger opiera swoją komunikację na domenie ts.kryptonika.eu?
2. Czy widzą Państwo jakieś ryzyka związane z faktem, że domena ta zarejestrowana jest na firmę należącą do osoby prywatnej, spokrewnionej z panem Michałem Gletem i adres e-mail prywatnej skrzynki pana Michała?
3. Czy pan Michał Glet i pan Kamil Kaczyński są lub byli pracownikami Państwa spółki lub spółek powiązanych kapitałowo lub osobowo lub czy świadczyli lub nadal świadczą na rzecz ww. spółek pracę na podstawie innych firm zatrudnienia?

Niestety do momentu publikacji tego artykułu firma Usecrypt SA. nie odpowiedziała.

Dowiedzieliśmy się także, że już 13 października 2020, a więc ponad 4 miesiące temu, Tomasz Zieliński, autor bloga Informatyk Zakładowy, wysłał do firmy Usecrypt SA. m.in. takie pytanie:

Usecrypt Messenger komunikuje się z serwerem kryptonika.eu, zarejestrowanym na firmę ITMasters Ewa Bara-Glet z siedzibą w Łodzi. Jaki jest związek między Usecrypt Messengerem a firmą ITMasters?

Tomasz także do tej pory nie otrzymał odpowiedzi.

Happy end

Ta historia ma szczęśliwe zakończenie. Wygląda ono tak:

Już w sobotę w rejestrze domeny EU pojawiły się nowe dane właściciela domeny i powiązanego z nią adresu e-mail. Tym razem są to dane niebudzące wątpliwości. Cieszymy się, że użytkownicy Usecrypt Messengera są od soboty trochę bezpieczniejsi.