对广泛使用的 QuickBlox SDK 和 API 的研究发现了远程医疗、智能物联网和金融等行业使用的聊天和视频应用程序中内置的关键漏洞。
Claroty Team82 和 Check Point Research (CPR) 的研究人员开发了 PoC 漏洞,证明这些漏洞威胁着数百万用户的个人信息。他们发现他们可以访问智能对讲机并远程开门,或者从远程医疗应用程序泄露患者数据。
使用 QuickBlox 框架的开发人员必须首先创建一个 QuickBlox 帐户。这提供了将用于应用程序的凭据以及用于进一步 API 请求的 QB 令牌。
当应用程序检索 QB 令牌时,用户使用应用程序会话和用户凭据登录。然而,该过程要求用户知道应用程序凭据——这些凭据通常只是简单地插入到应用程序中并很容易被攻击者提取。
至于 API,“我们在 QuickBlox API 中发现了一些关键漏洞,攻击者可能会利用这些漏洞从许多流行的应用程序中泄露用户数据库,”研究人员报告道。他们发现任何拥有应用程序级会话的人都可以获取用户列表、检索 PII 并生成多个攻击者控制的帐户。
通过 Google dorking 和 BeVigil 等搜索引擎,研究人员随后找到了数十个使用相同 QuickBlox 框架且存在相同漏洞的其他应用程序。在某些应用程序中提取密钥比其他应用程序更困难(通过加密或代码混淆),但研究人员断言,“开发人员只能设置障碍,使应用程序密钥的恢复变得复杂;攻击者总是可以访问它,无论提取需要五分钟还是两个小时。”
广告。滚动以继续阅读。
研究人员研究了如何将他们的发现用于包含 QuickBlox 的不同应用程序。他们提供了 Rozcom 的案例研究,这是一家总部位于以色列的建筑入口视频对讲提供商。他们单独调查 Rozcom 移动应用程序,发现了其他漏洞,并发现用户 ID 是通过连接单个建筑物 ID 和用户电话号码生成的。
回到 QuickBlox 漏洞,研究人员指出,“Rozcom 选择使用用户 ID [串联] 作为 QuickBlox 中的用户标识符。由于我们可以从 QuickBlox 泄露用户数据库,因此我们可以访问所有 Rozcom 用户,包括建筑物 ID 以及相关用户的电话号码。”
知道建筑物 ID 和用户电话号码最终使研究人员能够冒充合法用户(他们还发现他们可以获得用户的授权码)。研究人员解释说:“这意味着检索用户凭据的唯一要求是他们的电话号码,我们利用 QuickBlox 漏洞成功泄露了该电话号码。而且,验证码是静态的。因此,攻击者可以轻松地代表任何用户登录并在一定程度上使用应用程序的功能。这使他们能够打开门、打开视频流等等;他们现在可以完全远程控制对讲设备。”
在远程医疗应用程序(未命名,因为在撰写本文时仍然存在漏洞)上使用相同的方法,研究人员发现他们可以利用 QuickBlox 漏洞代表任何用户(无论是患者还是医生)登录。他们发现他们能够检索个人信息,包括病史、聊天记录和医疗档案。
研究人员警告说:“此外,由于这种攻击可以实现完全冒充,任何人都可以冒充医生并修改信息,甚至可以代表真正的医生通过平台上的聊天和视频与真实患者进行实时交流。”
这项针对 QuickBlox 的联合研究展示了 API 缺陷威胁的潜在规模,特别是当该缺陷存在于多个供应商和多个应用程序使用的框架中时。在这种情况下,研究人员与 QuickBlox 密切合作。QuickBlox 通过新的安全架构设计和新的 API 修复了这些漏洞。然而,安全性并不仅仅取决于供应商的修复——在撰写本文时,远程医疗应用程序仍然容易受到攻击,因为开发人员尚未纳入供应商的修复。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...