未修补的漏洞链对云麦体重监控应用构成“海量账户接管”威胁

安全研究人员声称,链式的零日漏洞利用可能会暴露流行的智能体重秤配套移动应用程序后端的所有用户数据。

英国信息安全公司Fortbridge的管理合伙人Bogdan Tiron在云迈智能秤应用程序中发现了五个漏洞,他说其中三个漏洞可以结合起来接管帐户并访问用户详细信息,例如姓名、性别、年龄、身高、家庭关系、和个人资料照片。

截至5月12日,中国物联网产品供应商珠海云脉科技显然只针对其中一个漏洞实施了修复——即便如此,Tiron表示他设法绕过了该补丁。

这些漏洞是在对云脉Android和iOS应用程序的渗透测试中发现的。

云迈智能体重秤和应用程序允许用户记录和跟踪他们的体重、体重指数(BMI)、体脂百分比、内脏脂肪和其他各种健康指标。

仅Android应用程序的下载量就已超过500000次。

链式攻击首先涉及滥用UserID枚举缺陷,通过暴力破解UserID泄漏父uid(' puId ') 帐户值。然后使用puId值将子(“家庭成员”)帐户添加到已注册的父帐户,这可能是由于API未能执行授权检查。

最后,当创建家庭帐户时,相应的“accessToken”和“refreshToken”被泄露,攻击者可以利用它们“冒充“家庭成员”帐户,在家庭成员的帐户之间切换,并查询他们的所有数据” ,根据Tiron撰写的博客文章。

同时,第四个缺陷意味着攻击者可以接管任何用户帐户,因为当用户请求新的“忘记密码”令牌时,Android“密码重置”功能无法正确地使先前生成的“忘记密码”令牌失效(该功能不起作用完全在iOS应用程序上)。

“因此,攻击者可以请求将多个令牌发送到受害者的电子邮件中,以增加他猜测该代码和更改受害者密码的机会,”Tiron 说。

第五个也是最后一个缺陷是研究人员绕过了每个主要帐户16个家庭成员的限制,因为该限制是在客户端而不是服务器端强制执行的。

Tiron在2021年9月和2021年10月期间披露了这些漏洞。Yunmai的支持团队对最初的披露做出了回应,但开发团队仍未回复,Fortbridge最后一次直接通过电子邮件发送给他们是在5月18日。

Tiron于5月30日发表了他的发现。

“据我所知,没有一个发现是固定的,”研究人员说“我上次检查是在 5 月 12 日,但所有发现仍未修补。”

研究人员说,他成功绕过了唯一观察到的修复,即“忘记密码”问题。

“不幸的是,Yunmai用户面临这些问题,他们无法在应用程序级别保护自己,因为这些都是后端API的问题,只有 Yunmai开发人员可以解决这些问题,”Tiron继续说道。

“在过去的几年里,物联网设备在安全性方面的名声很差,很遗憾看到情况没有改善。我们本来希望云迈在发布这款产品之前至少进行了一次渗透测试,或者至少当我们联系他们时,他们会更有反应。”

发表评论

评论已关闭。

相关文章