関連記事
RSA Conferenceの公式モバイルアプリに脆弱性見つかる
headless曰く、 20日まで米国・サンフランシスコで開催されたRSA Conference USA 2018の公式モバイルアプリで、登録ユーザーの姓名を含むリストにアクセス可能な脆弱性が見つかったそうだ(発見者のツイート、Ars Technica、Register)。
このアプリはイベント用アプリを専門にするEventbase Technologyが開発したもの。一部の機能でログインが必要となっており、RSA Conferenceの公式サイトで作成したアカウントでログインするとトークンを含むXMLファイルが生成される。このトークンを指定してEventbase TechnologyのWeb APIにアクセスするとSQLiteデータベースファイルのURLを含むJSONレスポンスが返される。データベースファイルは暗号化されているが、レスポンスヘッダーにデータベースハッシュが含まれており、復号に必要な情報がすべて取得可能な状態だったという。
発見者は100件以上の姓名を確認したところで調査を打ち切り、報告を受けたRSA ConferenceとEventbase Technologyは問題を数時間で修正したとのこと。RSA Conferenceの公式Twitterアカウントは、アクセスされた姓名が114件だったと報告している。RSA Conferenceの公式モバイルアプリでは別の開発元による2014年版でも、アプリがダウンロードするイベントデータのデータベースファイルに登録ユーザーの個人情報が含まれるという問題が発覚している。
スラドのコメントを読む | ITセクション | セキュリティ | バグ | プライバシ
関連ストーリー:
Intel、リモートキーボードアプリのバグ修正をあきらめる 2018年04月11日
Androidアプリ開発者の環境から任意ファイルを取得可能な脆弱性「ParseDroid」 2017年12月09日
Androidの「Toast」機能を使用したオーバーレイ攻撃 2017年09月14日
RSA Conference、参加登録者のTwitter認証情報を収集していたのではないかと疑われる 2016年01月24日
※この記事はスラドから提供を受けて配信しています。
スポンサードリンク
スポンサードリンク
- 英警察のサブドメイン、海賊版ストリーミングに悪用される 1/29 10:26
- Microsoft、重大なサイバーセキュリティインシデントを米証券取引委員会に報告 1/24 09:07
- 北京市司法局、AirDropによる違法文書配布者を特定可能に 1/17 16:04
- YouTube経由で広がるマルウェアが増加 1/16 17:11
- GoogleとBingが有名人の顔合成したポルノ動画へのアクセス容易にとの指摘 1/15 17:50