4006-555-883

健身应用管理平台泄露了成千上万用户的信息

发布时间:2020-08-20 10:29:00

  黑客可以劫持数十个健身和健身房移动应用程序中的用户账户,即使在双因素身份验证(2FA)机制处于活动状态的情况下也是如此。

  所有这些应用程序的共同点是Fizikal,这是一个来自以色列的健身房和体育俱乐部的管理平台,允许客户处理他们的订阅和课程注册。

  影响Fizikal平台的几个漏洞可能被链接起来,以绕过安全检查、枚举用户、强制使用一次性密码(OTP)进行登录,以及访问用户的帐户。



  简单的暴力

  以色列精品网络安全公司Security Joes的顾问saharavitan发现,大约80个应用程序依赖于Fizikal的API,以确保更方便地访问俱乐部和提供便利设施。

  截至发稿时,谷歌Play Store的健康与健身专区有近70款Fizikal应用,其中许多是在过去几天添加的。一些较老的应用程序有超过5000次的下载量,加起来至少有24万次活跃安装。

  阿维坦重新设置了他使用的EZ-Shape账户的密码,并注意到他收到了一个4个字符的弱密码,这激起了他分析这个平台的兴趣。

  研究人员注意到的一件事是,密码重置过程返回的结果与数据库中没有的电话号码的结果不同。

  这使他能够更好地理解整个机制,从而绕过安全检查并能够枚举用户。这些信息使他能够了解用户定义的电话号码,这些号码是用户通过SMS接收OTP密码以确认重置的。

  然而,另一个缺陷使得在合法用户收到警告之前,可以强行强制OTP号码(进程大约在一分钟内完成)并将其发送到Fizikal API。

  根据安全Joes的说法,OTP验证过程不受反自动化机制或captcha的保护,这种机制会阻止暴力尝试。

  有了OTP,Avitan将其发送到Fizikal服务器,并接收到生成新密码所需的唯一TokenID。他将代码以HTTP报头的形式与新的密码一起交付给服务器。

  劫持依赖Fizikal管理平台的应用程序帐户,不仅允许攻击者锁定用户或取消其订阅,还允许访问个人身份信息:

  电话号码

  全名

  出生日期

  电子邮件地址

  邮政地址

  身份证号码

  Avitan能够利用他在Fizikal中发现的缺陷,用概念证明代码实现了整个过程的自动化

  Security Joes的创始人兼首席执行官Ido Naor称,一个心怀不轨的人可以利用这些漏洞来了解名人或政府成员的日程安排。

  据研究人员称,菲齐卡尔和以色列的CERT收到了一份关于这一发现的完整报告,并迅速采取行动解决这些问题。

  【参考来源:bleepingcomputer】

最新发布
1
2月15日起施行!国家密码管理局等十三部门修订发布《网络安全审查办法》
2
近七成公众担心账号和个人信息泄露,维护网络安全任重道远
3
14.3亿!这家公司将面临比薇娅还高的罚款
4
形势将更严峻!DigiCert发布2022年度八大安全预测
5
频遭网络诈骗,是因为他们还不知道这个……
6
松下集团发生数据泄露 及时部署SSL证书保障信息安全
7
CA/B 论坛年终会议 | 新要求新前景 S/MIME证书和代码签名更新在即
8
All in 安全 电商之痛应当如何化解
9
CA/B三季度信息汇总:效率与安全并重
10
震惊!欧盟健康码疑遭泄露 天威诚信证书管理系统助力私钥安全
相关推荐
CA/B三季度信息汇总:效率与安全并重
相约乌镇·共话安全丨天威诚信将亮相2021年世界互联网大会“互联网之光”博览会
《网络安全审查办法(修订草案征求意见稿)》解读
All in 安全 电商之痛应当如何化解
惊!91%的工业企业容易遭受网络攻击
频遭网络诈骗,是因为他们还不知道这个……
划重点!《人民法院在线诉讼规则》正在施行中
形势将更严峻!DigiCert发布2022年度八大安全预测
不知道如何“不见面”招投标?天威诚信来帮你!
来啦!沪上首份《电子劳动合同操作指引》抢先出炉