4006-555-883

健身应用管理平台泄露了成千上万用户的信息

发布时间:2020-08-20 10:29:00

  黑客可以劫持数十个健身和健身房移动应用程序中的用户账户,即使在双因素身份验证(2FA)机制处于活动状态的情况下也是如此。

  所有这些应用程序的共同点是Fizikal,这是一个来自以色列的健身房和体育俱乐部的管理平台,允许客户处理他们的订阅和课程注册。

  影响Fizikal平台的几个漏洞可能被链接起来,以绕过安全检查、枚举用户、强制使用一次性密码(OTP)进行登录,以及访问用户的帐户。



  简单的暴力

  以色列精品网络安全公司Security Joes的顾问saharavitan发现,大约80个应用程序依赖于Fizikal的API,以确保更方便地访问俱乐部和提供便利设施。

  截至发稿时,谷歌Play Store的健康与健身专区有近70款Fizikal应用,其中许多是在过去几天添加的。一些较老的应用程序有超过5000次的下载量,加起来至少有24万次活跃安装。

  阿维坦重新设置了他使用的EZ-Shape账户的密码,并注意到他收到了一个4个字符的弱密码,这激起了他分析这个平台的兴趣。

  研究人员注意到的一件事是,密码重置过程返回的结果与数据库中没有的电话号码的结果不同。

  这使他能够更好地理解整个机制,从而绕过安全检查并能够枚举用户。这些信息使他能够了解用户定义的电话号码,这些号码是用户通过SMS接收OTP密码以确认重置的。

  然而,另一个缺陷使得在合法用户收到警告之前,可以强行强制OTP号码(进程大约在一分钟内完成)并将其发送到Fizikal API。

  根据安全Joes的说法,OTP验证过程不受反自动化机制或captcha的保护,这种机制会阻止暴力尝试。

  有了OTP,Avitan将其发送到Fizikal服务器,并接收到生成新密码所需的唯一TokenID。他将代码以HTTP报头的形式与新的密码一起交付给服务器。

  劫持依赖Fizikal管理平台的应用程序帐户,不仅允许攻击者锁定用户或取消其订阅,还允许访问个人身份信息:

  电话号码

  全名

  出生日期

  电子邮件地址

  邮政地址

  身份证号码

  Avitan能够利用他在Fizikal中发现的缺陷,用概念证明代码实现了整个过程的自动化

  Security Joes的创始人兼首席执行官Ido Naor称,一个心怀不轨的人可以利用这些漏洞来了解名人或政府成员的日程安排。

  据研究人员称,菲齐卡尔和以色列的CERT收到了一份关于这一发现的完整报告,并迅速采取行动解决这些问题。

  【参考来源:bleepingcomputer】

最新发布
1
跟随党的思想指引 共筑网络安全防线
2
Really?这几个行业最容易遭受网络攻击
3
1000元京东E卡+巨多超值豪礼,天威诚信SSL证书双重劲爆优惠来袭,冲鸭!
4
“羊了个羊”火遍全网,警方发布紧急提醒……
5
超八成搜索网站将个人信息出售,用户隐私安全谁来守护?
6
聚焦“国家网络安全宣传周”,部署SSL证书筑牢企业网站安全底线
7
上海6家单位被通报整改,企业不可不重视之网络安全防护责任
8
5年损失超430亿美元!你的电子邮件系统还安全吗?
9
银保监会发文严格信息安全保护机制!金融领域国密改造日趋紧迫
10
4亿多条用户信息被盗,企业网站信息安全如何防护?
相关推荐
损失将达10.5万亿美元!未来10年企业如何应对勒索攻击?
新型诈骗惊动高层!银保监会紧急发布风险提示 SSL证书价值凸显
广东首例!一公司未履行数据安全保护义务被警方处罚,企业部署SSL证书需趁早
国家新安全技术标准发布!公有云个人信息保护成关注焦点
银保监会发文严格信息安全保护机制!金融领域国密改造日趋紧迫
4亿多条用户信息被盗,企业网站信息安全如何防护?
上海6家单位被通报整改,企业不可不重视之网络安全防护责任
5年损失超430亿美元!你的电子邮件系统还安全吗?
“羊了个羊”火遍全网,警方发布紧急提醒……
1000元京东E卡+巨多超值豪礼,天威诚信SSL证书双重劲爆优惠来袭,冲鸭!