RSA 大会徽章扫描应用程序爆出漏洞

龙 宇 2016-7-27 最新资讯 0 0

  今年,RSA 2016的与会者将获得一个独特的惊喜:大会为许多厂商提供了三星Galaxy S4智能手机,在Google Play上运行一个特殊的Android APP,可以使他们通过扫描自己的徽章来跟踪这些访问者的踪迹。

  该移动扫描APP不能用于除扫描徽章外的任何东西,除非管理员使用密码解锁。这种工作模式称为“kiosk模式”。

  BLUE BOX的安全安全专家分析所下载的扫描应用程序,并发现开发者将默认密码以纯文本的形式放置在源代码中。

  BLUE BOX的安全研究人员在Securityweek.com这样说道:

  当我们使用该密码时就能够获得kiosk app的设置权限。反过来,一旦我们获得设备的系统设置权限,然后我们就能够将设备置入开发模式,进而获得进入设备的全部权限,这一切都是有关联的,因为如果我们能做到这一点,攻击者们一样可以,他们可以root设备,获取设备数据,或安装恶意软件来窃取更多的数据。

  我们推测,隐藏在APP中的默认代码可以作为一种机制,使得管理员在丢失设备密码的情况下仍然可以进行管理。然而,这种将密码嵌入到APP出厂编号的做法是一种十分荒谬的开发实践,特别是那些未加密和未混淆的。

  RSA

  在这个特殊的漏洞中,并未发现对最终用户带来的严重风险,但是发现带有硬编码凭证的移动APP是非常常见的。黑客可以利用隐藏密码来获取设备的控制权限,并以此将其用于窥探受害者或将其运行于移动僵尸网络中。

  类似的事情在2014年已经发生过一次,当时在IOActive的专家就发现了一些影响RSA大会Android APP的漏洞,如涉及信息披露问题等。

  设计安全性对于移动APP的发展而言是至关重要的,遗憾的是由于移动APP开发工具的迅速开发及推广,发布一个移动APP成为一件很容易的事情。但在大多数情况下,对于移动APP的安全要求就完全忽略了。

  但是奇怪的是,这种问题居然会发生在满是安全领域最顶级专家参与的大会上。

原文地址:https://www.77169.com/news/HTML/20160306081846.shtm

转载请注明来自华盟网,本文标题:《RSA 大会徽章扫描应用程序爆出漏洞》

喜欢 (0) 发布评论