RSA Conferenceの公式モバイルアプリに脆弱性見つかる

2018年4月25日 10:55

headless曰く、 20日まで米国・サンフランシスコで開催されたRSA Conference USA 2018の公式モバイルアプリで、登録ユーザーの姓名を含むリストにアクセス可能な脆弱性が見つかったそうだ(発見者のツイートArs TechnicaRegister)。

 このアプリはイベント用アプリを専門にするEventbase Technologyが開発したもの。一部の機能でログインが必要となっており、RSA Conferenceの公式サイトで作成したアカウントでログインするとトークンを含むXMLファイルが生成される。このトークンを指定してEventbase TechnologyのWeb APIにアクセスするとSQLiteデータベースファイルのURLを含むJSONレスポンスが返される。データベースファイルは暗号化されているが、レスポンスヘッダーにデータベースハッシュが含まれており、復号に必要な情報がすべて取得可能な状態だったという。

 発見者は100件以上の姓名を確認したところで調査を打ち切り、報告を受けたRSA ConferenceとEventbase Technologyは問題を数時間で修正したとのこと。RSA Conferenceの公式Twitterアカウントは、アクセスされた姓名が114件だったと報告している。RSA Conferenceの公式モバイルアプリでは別の開発元による2014年版でも、アプリがダウンロードするイベントデータのデータベースファイルに登録ユーザーの個人情報が含まれるという問題が発覚している。

関連記事

最新記事