Ευπάθειες στην εφαρμογή της RSA

Στις 31 Ιανουαρίου, λίγες εβδομάδες πριν από την έναρξη του παγκοσμίου φήμης event, RSA Conference 2014, η ομώνυμη εφαρμογή κυκλοφόρησε στο Google Play. Οι ειδικοί διαπίστωσαν γρήγορα αρκετά θέματα ασφάλειας.

Η εφαρμογή RSA Conference 2014, επιτρέπει στους χρήστες να παρακολουθούν μέχρι και το τέλος τις δραστηριότητες, τη λίστα με τις εκδηλώσεις, το πρόγραμμα, ​​και να συνδεθούν με τους συναδέλφους τους μέσω ενός κοινωνικού και επαγγελματικού εργαλείου δικτύωσης.

RSA

Ερευνητές ασφάλειας από την IOActive αποφάσισαν να ρίξουν μια ματιά στην εφαρμογή για να δουν πόσο ασφαλής είναι. Σε σύντομο χρονικό διάστημα, εντόπισαν συνολικά έξι ευπάθειες.

Η πιο σοβαρή από αυτές μπορεί να αξιοποιηθεί για επιθέσεις man-in-the-middle (MitM). Ένας εισβολέας θα μπορούσε να κάνει inject μια ιστοσελίδα phishing για να συλλέγει τα logins των συνέδρων.

Ο Gunter Ollmann της IOActive αναφέρει: “Αν είχαμε να κάνουμε με μια τραπεζική εφαρμογή, τότε δεν θα είχαν καμία τύχη, αλλά αυτό το συγκεκριμένο app έχει κατέβει μόνο μερικές χιλιάδες φορές, και έχω σοβαρές αμφιβολίες για το αν κάποιος hacker χάσει το χρόνο του για μία εφαρμογή που θα του δώσει μόνο τα διαπιστευτήρια ενός συνεδρίου”.

Ωστόσο, υπάρχει ένα άλλο θέμα ασφαλείας αρκετά εύκολο για να το εκμεταλλευτούν, και θα μπορούσε να τους είναι πολύ πιο επικερδής.

Οι πληροφορίες της εφαρμογής συγκεντρώνονται σε μια βάση δεδομένων SQLite που μπορει να κατεβεί στο smartphone. Αυτό το αρχείο περιέχει τις πληροφορίες του κάθε χρήστη που έχει εγγραφεί για το RSA Conference 2014, με το ονοματεπώνυμο, την εταιρεία και τον τίτλο.

RSA2

Αν και δεν υπάρχουν κωδικοί πρόσβασης ή άλλα ευαίσθητα στοιχεία σε αυτό το αρχείο, οι hackers θα μπορούσαν πιθανώς να χρησιμοποιήσουν πολλούς τρόπους αυτές τις πληροφορίες.

Η εφαρμογή θα πρέπει να πούμε ότι δεν αναπτύχθηκε από την RSA. Δημιουργήθηκε από QuickMobile, μια εταιρεία που έχει αναπτύξει παρόμοιες εφαρμογές για αρκετές μεγάλες εταιρείες, όπως η McDonalds, η Adobe, η Kaspersky, η Red Hat, και πολλών άλλων.

Όμως ακόμα κι αν RSA δεν είχε αναπτύξει την εφαρμογή, όφειλε να ελέγξει την ασφάλεια και την ακεραιότητά της.

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).