Wenn Sie zu einer Sicherheitskonferenz gehen, und seine Mobile App leckt Ihre Daten

Screenshots der RSA Conference-Anwendung aus dem Google Spielladen Vergrößern / Screenshots der RSA-Konferenzanwendung aus dem Google Play Store. Die Weboberfläche der App hat Teilnehmerdaten verloren wenn mit einem Token geliefert, das durch Registrierung der App.Google erhalten wurde Play Store

Eine mobile Anwendung, die von einem Drittanbieter für die RSA-Sicherheit erstellt wurde Konferenz in San Francisco in dieser Woche wurde festgestellt, einige zu haben eigene Sicherheitsprobleme, einschließlich fest codierter Sicherheitsschlüssel und Passwörter, mit denen ein Forscher die Konferenz extrahieren konnte Teilnehmerliste. Die Organisatoren der Konferenz haben die Verwundbarkeit auf Twitter, aber sie sagen, dass nur der erste und der letzte namen von 114 teilnehmern wurden aufgedeckt.

pic.twitter.com/QzTjOvMhSi

– RSA-Konferenz (@RSAConference), 20. April 2018

Die Sicherheitslücke wurde (zumindest öffentlich) von a entdeckt Sicherheitsingenieur, der bei einer Untersuchung von Entdeckungen getwittert hat die RSA Conference Mobile App, die von Eventbase entwickelt wurde Technologie. Innerhalb von vier Stunden nach der Veröffentlichung hatte Eventbase Das Datenleck wurde behoben – ein API-Aufruf, mit dem jeder herunterladen konnte Daten mit Teilnehmerinformationen.

Wenn Sie an # RSAC2018 teilgenommen haben und dort Ihren Vornamen sehen – sorry! pic.twitter.com/YrgZo6jHDu

– svbl (@svblxyz) 20. April 2018

Für den Zugriff auf die Teilnehmerliste ist die Registrierung eines Kontos erforderlich Die Anwendung meldet sich an und holt sich dann ein Token aus einer XML-Datei Datei von der Anwendung gespeichert. Seit der Registrierung für die Anwendung benötigt nur eine E-Mail-Adresse, jeder, der Dump könnte Die Dateien von ihrem Android-Gerät könnten das Token erhalten und dann Fügen Sie es in einen Aufruf der webbasierten Anwendungsschnittstelle ein, um es herunterzuladen Teilnehmernamen. Während die heruntergeladene SQLite-Datenbank verschlüsselt wurde, Ein anderer API-Aufruf stellte diesen Schlüssel bereit.

Eine andere SQLite-Datenbank, die noch über die heruntergefahren werden kann Die APIs der Anwendung sind nicht verschlüsselt und enthalten mehr persönliche Informationen Informationen, einschließlich Namen, Adressen, Telefonnummern, Firma Namen und Links zu Social-Media-Konten. Ars schaute auf diese Datenbank, und es scheint nur Hersteller- und Sprecherdaten zu enthalten, also ist es wahrscheinlich absichtlich unsicher, weil es weniger empfindlich ist.

Dies ist das zweite Mal, dass eine mobile RSA-Anwendung ein Leck aufweist Teilnehmerdaten. 2014 wurde eine Anwendung von einer anderen erstellt Entwickler, QuickMobile, wurde von Gunter Ollmann (wer war zu diesem Zeitpunkt bei IOactive) eine SQLite-Datenbank enthalten persönliche Informationen zu registrierten Teilnehmern.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: