这些问题使研究人员能够下载所有用户数据库、接管帐户和所有Rozcom对讲设备,并获得对设备摄像头和麦克风的完全访问权限。这些缺陷是在检查以色列供应商Rozcom的基于QuickBlox框架的对讲移动应用程序时发现的。
在一项联合研究工作中,Check Point Research(CPR)和Claroty Team82发现QuickBlox框架中存在多个安全漏洞。QuickBlox是一种流行的聊天和视频服务,广泛用于智能物联网设备、金融和远程医疗Web以及iOS和Android移动应用程序的开发。在进行研究时,Claroty Team82和CPR研究人员发现了该框架架构中的几个主要安全缺陷。
研究人员表示,如果这些缺陷被利用,威胁行为者可以轻松访问无数应用程序的用户数据库,从而使数百万用户记录面临暴露和利用的风险。
在2023年7月21日发布的报告中,研究人员解释说,可以利用QuickBlox的智能对讲和远程医疗应用程序,使他们能够通过对讲应用程序远程开门,并从主流远程医疗平台泄露患者数据。
这些缺陷是在检查以色列供应商Rozcom的基于QuickBlox框架的对讲移动应用程序时发现的。这些问题使研究人员能够下载所有用户数据库、接管帐户和所有Rozcom对讲设备,并获得对设备摄像头和麦克风的完全访问权限。他们还获得了窃听其源、打开设备管理的门等的能力。
然后,研究人员评估了通过集成QuickBlox SDK创建的流行远程医疗应用程序。他们没有透露该应用程序的名称,但确实指出它为患者提供聊天和视频服务,以便他们可以与医生沟通。
根据CPR的技术研究,这个特定的应用程序已经包含漏洞,当与QuickBlox缺陷相结合时,该应用程序泄露了整个用户数据库,包括医疗记录以及应用程序存储的医疗和聊天历史记录。此外,任何人都可以冒充医生、修改信息或代表医生与患者实时沟通。
供您参考,使用QuickBlox创建的应用程序附带用于用户管理、身份验证以及实时私人和公共聊天消息传递功能的 API。它还提供符合HIPAA和GDPR的安全功能以及支持视频和语音功能的SDK。开发人员通过在(admin.quickblox.com/signup)创建帐户并创建应用程序来集成QuickBlox。
然后,他们收到应用程序ID、授权密钥、授权密钥和帐户密钥。然后,应用程序请求QB-Token来发出新的API请求并使用用户权限登录经过身份验证的会话。
这就是发现缺陷的地方。应用程序会话是创建用户会话所必需的,这意味着每个用户都必须首先获取会话。如果用户知道应用程序的ID、授权密钥、授权秘密和帐户密钥,则这是可能的。这些密钥必须可供所有用户访问,研究人员指出,大多数用户只是将应用程序机密插入到应用程序中,从而使它们成为公共信息。
对手可以通过逆向工程提取秘密,或者仅使用应用程序级会话信息从流行应用程序的数据库中泄露秘密。攻击者可以获得用户列表等敏感数据,姓名、电子邮件地址和电话号码等PII用户数据,并创建新用户等。
任何可以从应用程序中提取静态QuickBlox设置的人都可以检索所有应用程序用户的个人用户信息或创建多个攻击者控制的帐户。此外,攻击者可以创建一个恶意用户帐户,通过暴力破解有限范围来泄露特定的用户详细信息,因为 uickBlox使用顺序ID。
这些团队与该公司合作解决发现的缺陷。据报道,QuickBlox设计了更安全的架构和API来解决该问题,并敦促用户切换到最新的框架版本。
评论已关闭。