IT技术互动交流平台

猴赛雷!RSA 大会徽章扫描应用程序爆出漏洞

作者:佚名  发布日期:2016-03-04 21:00:43

近日,BLUE BOX公司的安全研究人员发现:RSA 2016大会上使用的徽章扫描APP存在一个硬编码的默认密码。
今年,RSA 2016的与会者将获得一个独特的惊喜:大会为许多厂商提供了三星Galaxy S4智能手机,在Google Play上运行一个特殊的Android APP,可以使他们通过扫描自己的徽章来跟踪这些访问者的踪迹。
该移动扫描APP不能用于除扫描徽章外的任何东西,除非管理员使用密码解锁。这种工作模式称为“kiosk模式”。
BLUE BOX的安全安全专家分析所下载的扫描应用程序,并发现开发者将默认密码以纯文本的形式放置在源代码中。
BLUE BOX的安全研究人员在Securityweek.com这样说到:
当我们使用该密码时就能够获得kiosk app的设置权限。反过来,一旦我们获得设备的系统设置权限,然后我们就能够将设备置入开发模式,进而获得进入设备的全部权限,这一切都是有关联的,因为如果我们能做到这一点,攻击者们一样可以,他们可以root设备,获取设备数据,或安装恶意软件来窃取更多的数据。
我们推测,隐藏在APP中的默认代码可以作为一种机制,使得管理员在丢失设备密码的情况下仍然可以进行管理。然而,这种将密码嵌入到APP出厂编号的做法是一种十分荒谬的开发实践,特别是那些未加密和未混淆的,

在这个特殊的漏洞中,并未发现对最终用户带来的严重风险,但是发现带有硬编码凭证的移动APP是非常常见的。黑客可以利用隐藏密码来获取设备的控制权限,并以此将其用于窥探受害者或将其运行于移动僵尸网络中。
类似的事情在2014年已经发生过一次,当时在IOActive的专家就发现了一些影响RSA大会Android APP的漏洞,如涉及信息披露问题等。
设计安全性对于移动APP的发展而言是至关重要的,遗憾的是由于移动APP开发工具的迅速开发及推广,发布一个移动APP成为一件很容易的事情。但在大多数情况下,对于移动APP的安全要求就完全忽略了。
但是奇怪的是,这种问题居然会发生在满是安全领域最顶级专家参与的大会上。
 

延伸阅读:

Tag标签: 赛雷   徽章   应用程序  
  • 专题推荐

About IT165 - 广告服务 - 隐私声明 - 版权申明 - 免责条款 - 网站地图 - 网友投稿 - 联系方式
本站内容来自于互联网,仅供用于网络技术学习,学习中请遵循相关法律法规