研究人员发现,今年参加BlackHat安全会议的每个人的完整通讯信息都以明文形式公开。这些信息包括姓名,电子邮件,公司和电话号码。
BlackHat 2018会议徽章嵌入了近场通信(NFC)标签,该标签存储了与会者的联系方式,用于进行识别或为供应商营销提供便利。
一位网名为NinjaStyle①的安全专家注意到,用NFC芯片读取器扫描他的徽章时,能够以明文形式看到他真正的全名,但电子邮件地址和其他信息却不会。在芯片的不同记录中,读取器将用户指向BCard应用程序——一款用于Android和IOS系统的名片阅读器。
NinjaStyle启动推荐的读卡器并反编译其APK以寻找潜在的API端点。他发现BCard应用程序借助徽章和事件标识值创建了一个自定义URL,并确定了如何构建这些标识值。
“虽然我们可以在上面显示的代码中证明这一点,但我只是猜测一下,通过在Firefox中发送请求,这些标识值与事件ID和徽章ID参数能够对应起来。令我惊讶的是,我的与会者数据能够完全未经验证就通过这个API端点。”NinjaStyle在他的博客文章中揭露了这一故障。
这些细节以及足以开展暴力攻击,收集所有BlackHat与会者的联系方式。研究人员通过反复试验发现,有效ID数据的范围在100000-999999之间,因此他可以开始提取细节。
“据估计有18,000名BlackHat与会者,可以假设我们将在大约2%的与会者中列举出有效的徽章ID,”他总结道。
NinjaStyle使用Burp Suite来测试他的观点,估计要想获得所有BlackHat与会者的通讯信息大约需要6个小时;考虑到在安全行业,这一会议是全球黑客、企业和政府机构的大聚会,因此仅仅6个小时是非常值得的。
该研究人员能够联系BCard制造商以披露安全漏洞,由于它是一个遗留系统,因此该漏洞在不到24小时内就通过禁用泄漏的API端点修补了。
值得一提的是,今年RSA大会的官方应用程序没有受到保护,因此与会者信息被泄露了,总共有144条未经授权的访问记录。19日会议刚结束,就听闻此次RSA大会注册网站被攻陷,注册人员信息全部泄漏。后经过初步分析,确认部分信息是由于官网移动App硬编码的缺陷而暴露了出来,但仅仅包含了First Name信息,影响并不是很严重。
然而问题现实存在,让不少参会人员疾呼:我们参加安全会议居然让自己的个人信息被黑掉,是可忍孰不可忍啊!这确实给所有人敲响了警钟,应了老生常谈的一句话,没有绝对的安全!
注①:NinjaStyle,美国科罗拉多州的渗透测试和安全研究员,Twiteer:NinjaStyle82。
展开全文
- 移动支付网 | 2020/9/11 10:18:57
- IT之家 | 2019/6/10 11:17:27
- cnBeta.COM | 2018/9/13 14:18:42
- 移动支付网 | 2018/8/30 9:12:41
- 移动支付网 | 2018/7/13 9:00:30
- 移动支付网 | 2018/6/29 18:56:01
- 移动支付网 | 2018/6/29 17:46:01
- 移动支付网 | 2018/6/28 8:58:40
- 移动支付网 | 2016/3/18 9:20:12
- 华强电子网 | 2013/12/4 14:36:21
- 移动支付网 | 2013/10/24 11:09:46
- 一卡通世界网 | 2013/9/11 17:00:08
- RFID博客 | 2013/9/5 11:42:02
- 搜狐IT | 2013/8/16 12:05:16
- 一卡通世界网 | 2013/8/15 10:58:05