猴赛雷!RSA 大会徽章扫描应用程序爆出漏洞

2016-03-04 +5 161087人围观 ,发现 6 个不明物体 资讯

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

近日,BLUE BOX公司的安全研究人员发现:RSA 2016大会上使用的徽章扫描APP存在一个硬编码的默认密码。

今年,RSA 2016的与会者将获得一个独特的惊喜:大会为许多厂商提供了三星Galaxy S4智能手机,在Google Play上运行一个特殊的Android APP,可以使他们通过扫描自己的徽章来跟踪这些访问者的踪迹。

该移动扫描APP不能用于除扫描徽章外的任何东西,除非管理员使用密码解锁。这种工作模式称为“kiosk模式”。

BLUE BOX的安全安全专家分析所下载的扫描应用程序,并发现开发者将默认密码以纯文本的形式放置在源代码中。

BLUE BOX的安全研究人员在Securityweek.com这样说道:

当我们使用该密码时就能够获得kiosk app的设置权限。反过来,一旦我们获得设备的系统设置权限,然后我们就能够将设备置入开发模式,进而获得进入设备的全部权限,这一切都是有关联的,因为如果我们能做到这一点,攻击者们一样可以,他们可以root设备,获取设备数据,或安装恶意软件来窃取更多的数据。

我们推测,隐藏在APP中的默认代码可以作为一种机制,使得管理员在丢失设备密码的情况下仍然可以进行管理。然而,这种将密码嵌入到APP出厂编号的做法是一种十分荒谬的开发实践,特别是那些未加密和未混淆的。

RSA-Conference-2016.jpg

在这个特殊的漏洞中,并未发现对最终用户带来的严重风险,但是发现带有硬编码凭证的移动APP是非常常见的。黑客可以利用隐藏密码来获取设备的控制权限,并以此将其用于窥探受害者或将其运行于移动僵尸网络中。

类似的事情在2014年已经发生过一次,当时在IOActive的专家就发现了一些影响RSA大会Android APP的漏洞,如涉及信息披露问题等。

设计安全性对于移动APP的发展而言是至关重要的,遗憾的是由于移动APP开发工具的迅速开发及推广,发布一个移动APP成为一件很容易的事情。但在大多数情况下,对于移动APP的安全要求就完全忽略了。

但是奇怪的是,这种问题居然会发生在满是安全领域最顶级专家参与的大会上。

*原文地址:securityaffairs编译:米雪儿,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

这些评论亮了

  • Wayne 回复
    我一直不明白为什么硬编码默密码漏洞那么多,是故意留下的后门吗?
    )6( 亮了
发表评论

已有 6 条评论

取消
Loading...

特别推荐

推荐关注

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php