4006-555-883

健身应用管理平台泄露了成千上万用户的信息

发布时间:2020-08-20 10:29:00

  黑客可以劫持数十个健身和健身房移动应用程序中的用户账户,即使在双因素身份验证(2FA)机制处于活动状态的情况下也是如此。

  所有这些应用程序的共同点是Fizikal,这是一个来自以色列的健身房和体育俱乐部的管理平台,允许客户处理他们的订阅和课程注册。

  影响Fizikal平台的几个漏洞可能被链接起来,以绕过安全检查、枚举用户、强制使用一次性密码(OTP)进行登录,以及访问用户的帐户。



  简单的暴力

  以色列精品网络安全公司Security Joes的顾问saharavitan发现,大约80个应用程序依赖于Fizikal的API,以确保更方便地访问俱乐部和提供便利设施。

  截至发稿时,谷歌Play Store的健康与健身专区有近70款Fizikal应用,其中许多是在过去几天添加的。一些较老的应用程序有超过5000次的下载量,加起来至少有24万次活跃安装。

  阿维坦重新设置了他使用的EZ-Shape账户的密码,并注意到他收到了一个4个字符的弱密码,这激起了他分析这个平台的兴趣。

  研究人员注意到的一件事是,密码重置过程返回的结果与数据库中没有的电话号码的结果不同。

  这使他能够更好地理解整个机制,从而绕过安全检查并能够枚举用户。这些信息使他能够了解用户定义的电话号码,这些号码是用户通过SMS接收OTP密码以确认重置的。

  然而,另一个缺陷使得在合法用户收到警告之前,可以强行强制OTP号码(进程大约在一分钟内完成)并将其发送到Fizikal API。

  根据安全Joes的说法,OTP验证过程不受反自动化机制或captcha的保护,这种机制会阻止暴力尝试。

  有了OTP,Avitan将其发送到Fizikal服务器,并接收到生成新密码所需的唯一TokenID。他将代码以HTTP报头的形式与新的密码一起交付给服务器。

  劫持依赖Fizikal管理平台的应用程序帐户,不仅允许攻击者锁定用户或取消其订阅,还允许访问个人身份信息:

  电话号码

  全名

  出生日期

  电子邮件地址

  邮政地址

  身份证号码

  Avitan能够利用他在Fizikal中发现的缺陷,用概念证明代码实现了整个过程的自动化

  Security Joes的创始人兼首席执行官Ido Naor称,一个心怀不轨的人可以利用这些漏洞来了解名人或政府成员的日程安排。

  据研究人员称,菲齐卡尔和以色列的CERT收到了一份关于这一发现的完整报告,并迅速采取行动解决这些问题。

  【参考来源:bleepingcomputer】

最新发布
1
重大事件 | TLS安全因使用过时的WHOIS服务器而遭破坏
2
SSL证书选便宜的还是贵的?
3
关于“Geotrust”品牌证书不信任误解读声明
4
央企密码中台建设:高效与安全并存的数字化转型必然选择
5
政府网站数据安全防护这样做,兼容性与国密算法合规性兼顾
6
Digicert全球价格调整策略-中国区市场指导价格执行通知
7
热点问题解答 | vTrus SSL证书三问三答,自主品牌保障企业网站安全合规
8
“数据安全”连续四年被写入政府工作报告,天威诚信核心技术护航数据全生命周期安全
9
《中华人民共和国档案法实施条例》正式施行,天威诚信数字信任服务推进档案信息化、法制化建设
10
反转不断的“凤印案” 从《大唐狄公案》看传统印章的管理困局
相关推荐
政府网站数据安全防护这样做,兼容性与国密算法合规性兼顾
重大事件 | TLS安全因使用过时的WHOIS服务器而遭破坏
央企密码中台建设:高效与安全并存的数字化转型必然选择
SSL证书选便宜的还是贵的?
关于“Geotrust”品牌证书不信任误解读声明
Digicert全球价格调整策略-中国区市场指导价格执行通知