BlackHat 2018与会者信息曝光 NFC标签是泄露源
mottoin | M0tto1n | 2018-09-14 09:26

研究人员发现,今年参加BlackHat安全会议的每个人的完整通讯信息都以明文形式公开。这些信息包括姓名,电子邮件,公司和电话号码。

BlackHat 2018会议徽章嵌入了近场通信(NFC)标签,该标签存储了与会者的联系方式,用于进行识别或为供应商营销提供便利。

一位网名为NinjaStyle①的安全专家注意到,用NFC芯片读取器扫描他的徽章时,能够以明文形式看到他真正的全名,但电子邮件地址和其他信息却不会。在芯片的不同记录中,读取器将用户指向BCard应用程序——一款用于Android和IOS系统的名片阅读器。

NinjaStyle启动推荐的读卡器并反编译其APK以寻找潜在的API端点。他发现BCard应用程序借助徽章和事件标识值创建了一个自定义URL,并确定了如何构建这些标识值。

“虽然我们可以在上面显示的代码中证明这一点,但我只是猜测一下,通过在Firefox中发送请求,这些标识值与事件ID和徽章ID参数能够对应起来。令我惊讶的是,我的与会者数据能够完全未经验证就通过这个API端点。”NinjaStyle在他的博客文章中揭露了这一故障。

这些细节以及足以开展暴力攻击,收集所有BlackHat与会者的联系方式。研究人员通过反复试验发现,有效ID数据的范围在100000-999999之间,因此他可以开始提取细节。

“据估计有18,000名BlackHat与会者,可以假设我们将在大约2%的与会者中列举出有效的徽章ID,”他总结道。

NinjaStyle使用Burp Suite来测试他的观点,估计要想获得所有BlackHat与会者的通讯信息大约需要6个小时;考虑到在安全行业,这一会议是全球黑客、企业和政府机构的大聚会,因此仅仅6个小时是非常值得的。

该研究人员能够联系BCard制造商以披露安全漏洞,由于它是一个遗留系统,因此该漏洞在不到24小时内就通过禁用泄漏的API端点修补了。

值得一提的是,今年RSA大会的官方应用程序没有受到保护,因此与会者信息被泄露了,总共有144条未经授权的访问记录。19日会议刚结束,就听闻此次RSA大会注册网站被攻陷,注册人员信息全部泄漏。后经过初步分析,确认部分信息是由于官网移动App硬编码的缺陷而暴露了出来,但仅仅包含了First Name信息,影响并不是很严重。

然而问题现实存在,让不少参会人员疾呼:我们参加安全会议居然让自己的个人信息被黑掉,是可忍孰不可忍啊!这确实给所有人敲响了警钟,应了老生常谈的一句话,没有绝对的安全!

注①:NinjaStyle,美国科罗拉多州的渗透测试和安全研究员,Twiteer:NinjaStyle82。

相关阅读
PC版  |  关于我们  |  联系我们
Copyright © 2011-2018 移动支付网
粤ICP备11061396号-5