Kompleksowe szkolenie: wprowadzenie do bezpieczeństwa IT od sekuraka z rabatem 50%. Jedyna taka okazja w tym roku. Nie przegap! :-)

Wyciekały dane osobowe uczestników konferencji o bezpieczeństwie organizowanej RSA

23 kwietnia 2018, 18:18 | W biegu | 0 komentarzy

Niepoprawna autoryzacja, możliwość enumeracji użytkowników czy brak limitu na zapytania do API – to prosty przepis na wyciek i dokładnie tego typu problem przydarzył się firmie RSA. Trzeba wprawdzie przyznać, że aplikacja mobilna obsługująca konferencję RSA  była zlecona do przygotowania zewnętrznej firmie – jednak faktem jest, że dane uczestników można było pobrać i wizerunkowo wygląda to bardzo słabo.

Jako Proof of Concept podano mały wycinek wyników działania znanego nam Burpa:

Gdzie atakujący mogli dokładnie „strzelać”? Tego można było się dowiedzieć z samej aplikacji mobilnej:

Wystarczyło tylko przeanalizować funkcje API…i znaleźć te „odpowiednie„. Podatność została już załatana, a my pamiętajmy że „głębokie ukrycie” endpointów API w aplikacji mobilnej nie oznacza braku możliwości odkrycia ich przez atakujących. Tym bardziej jeśli aplikacja używana jest w kontekście wydarzeń związanych z bezpieczeństwem. Zainteresowanych tematyką polecam również tą stronę: Secrets leak in Android apps.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz