Cuando vas a una conferencia de seguridad, y es la aplicación móvil filtra sus datos

Capturas de pantalla de la aplicación RSA Conference de Google Tienda de juegos Ampliar / Capturas de pantalla de la aplicación RSA Conference del Google Play Store. La interfaz web de la aplicación filtró datos de asistentes cuando se le proporciona un token obtenido al registrar la aplicación. Play Store

Una aplicación móvil creada por un tercero para la seguridad de RSA se encontró que la conferencia en San Francisco esta semana tuvo algunas problemas de seguridad propios, incluidas claves de seguridad codificadas y contraseñas que permitieron a un investigador extraer la conferencia lista de asistentes Los organizadores de la conferencia reconocieron la vulnerabilidad en Twitter, pero dicen que solo el primero y el último se expusieron los nombres de 114 asistentes.

pic.twitter.com/QzTjOvMhSi

– Conferencia RSA (@RSAConference) 20 de abril de 2018

La vulnerabilidad fue descubierta (al menos públicamente) por un ingeniero de seguridad que tuiteó descubrimientos durante un examen de la aplicación móvil de la conferencia RSA, desarrollada por Eventbase Tecnología: dentro de las cuatro horas posteriores a la divulgación, Eventbase tuvo solucionó la fuga de datos, una llamada a la API que permitía a cualquiera descargar datos con información de los asistentes.

Si asistió a # RSAC2018 y ve su nombre allí, ¡lo siento! ? pic.twitter.com/YrgZo6jHDu

– svbl (@svblxyz) 20 de abril de 2018

Para acceder a la lista de asistentes es necesario registrar una cuenta para la aplicación, iniciar sesión y luego tomar un token de un XML archivo almacenado por la aplicación. Desde el registro para el la aplicación solo requería una dirección de correo electrónico, cualquiera que pudiera volcar los archivos de su dispositivo Android podrían obtener el token y luego insertarlo en una llamada de interfaz de aplicación basada en web para descargar nombres de los asistentes Mientras que la base de datos SQLite descargada estaba encriptada, otra llamada API proporcionó esa clave.

Otra base de datos SQLite que aún se puede extraer a través de Las API de la aplicación no están encriptadas y contienen más información personal. información, incluidos nombres, direcciones, números de teléfono, compañía nombres y enlaces de cuentas de redes sociales. Ars miró esa base de datos, y parece contener solo datos de vendedores y oradores, por lo que es probablemente intencionalmente inseguro porque es menos sensible.

Esta es la segunda vez que se filtra una aplicación móvil RSA Datos del asistente. En 2014, una aplicación creada por otro El desarrollador, QuickMobile, fue encontrado por Gunter Ollmann (quien era en ese momento en IOactive) para tener una base de datos SQLite que contenga Información personal de los asistentes registrados.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: