Check Point Research ile birlikte QuickBlox’un yazılım geliştirme kitini ve uygulama programlama arabirimini (API) inceleyen Team 82, milyonlarca kişinin kişisel verilerini riske atan kritik güvenlik açıkları olduğunu keşfetti.
QuickBlox, finans ve teletıp dahil olmak üzere çeşitli sektörlerde kullanılan bir sohbet ve görüntülü arama platformudur. Team 82 ve Check Point Research, platformun güvenlik açıklarını araştırırken, API’yi çalıştıran uygulamalar için birkaç kavram kanıtı istismarına öncülük etti.
Ekipler ayrıca, QuickBlox mimarisindeki gizli belirteçlerin ve parolaların, tehdit aktörlerinin QuickBlox kullanıcıları hakkında bilgi edinmesine nasıl izin verebileceğine dair örnekler de sağladı. Araştırmacılar, bu güvenlik açıklarından yararlanmanın ve potansiyel saldırıları gerçekleştirmenin benzersiz yollarını buldular ve sonuçta interkom özelliklerini kullanarak kapıları uzaktan açmalarına veya bir teletıp platformundan hasta bilgilerini sızdırmalarına olanak sağladılar.
Team82 ve Check Point Research, platformu için yeni mimari ve tamamen yeni bir API dahil olmak üzere sorunlara çözümler bulmak için QuickBlox ile birlikte çalıştı. QuickBlox kullanıcılarının her iki güncelleme için de en son sürümlere geçmeleri önerilir.