Check Point Research (CPR) ve Claroty Team82 ortak bir araştırma çalışmasında, QuickBlox çerçevesinde çok sayıda güvenlik açığı buldu. QuickBlox, geliştirmede yaygın olarak kullanılan popüler bir sohbet ve video hizmetidir. akıllı IoT cihazları, finans ve teletıp web ve iOS ve Android mobil uygulamaları. Claroty Team82 ve CPR araştırmacıları, araştırmalarını yürütürken, çerçevenin mimarisinde birkaç önemli güvenlik açığı keşfettiler.
Araştırmacılara göre, bu açıklardan yararlanılırsa, tehdit aktörleri sayısız uygulamanın kullanıcı veritabanlarına kolayca erişebilir ve milyonlarca kullanıcı kaydını ifşa ve istismar riskiyle karşı karşıya bırakabilir.
Araştırmacılar, 21 Temmuz 2023’te yayınladıkları raporda, QuickBlox’un akıllı dahili telefon ve teletıp uygulamalarından yararlanmanın, dahili telefon uygulamaları aracılığıyla kapıları uzaktan açmalarına ve ana akım bir teletıp platformundan hasta verilerini sızdırmalarına olanak tanıdığını açıkladılar.
Kusurlar, QuickBlox çerçevesini temel alan İsrailli satıcı Rozcom’un interkom mobil uygulamasını incelerken keşfedildi. Sorunlar, araştırmacıların tüm kullanıcı veritabanlarını indirmesine, hesapları ve tüm Rozcom interkom cihazlarını devralmasına ve cihaz kameralarına ve mikrofonlarına tam erişim elde etmesine olanak sağladı. Ayrıca, beslemesine telefon dinleme, cihazların yönettiği kapıları açma ve daha fazlasını yapma yeteneği de kazandılar.
Ardından araştırmacılar, QuickBlox SDK entegre edilerek oluşturulan popüler bir teletıp uygulamasını değerlendirdi. Uygulamanın adını açıklamadılar, ancak hastalar için doktorlarla iletişim kurabilmeleri için sohbet ve video hizmetleri sağladığını not ettiler.
CPR’lere göre teknik araştırma, bu özel uygulama zaten güvenlik açıkları içeriyordu ve QuickBlox kusurlarıyla birleştirildiğinde, uygulama, tıbbi kayıtlar ve uygulamanın depoladığı tıbbi ve sohbet geçmişi dahil olmak üzere tüm kullanıcı veritabanını sızdırdı. Dahası, herhangi biri doktor kimliğine bürünebilir, bilgileri değiştirebilir veya doktorları adına hastalarla gerçek zamanlı olarak iletişim kurabilir.
Bilginiz olsun, QuickBlox kullanılarak oluşturulan uygulamalar, kullanıcı yönetimi, kimlik doğrulama ve gerçek zamanlı özel ve genel sohbet mesajlaşma özellikleri için API’lerle birlikte gelir. Ayrıca sunar HIPAA Ve GDPR uyumlu güvenlik özellikleri ve video ve ses özelliklerini etkinleştiren bir SDK. Geliştiriciler, (admin.quickblox.com/signup) adresinde bir hesap oluşturarak ve uygulamayı oluşturarak QuickBlox’u entegre eder.
Daha sonra uygulama kimliğini, yetkilendirme anahtarını, yetkilendirme sırrını ve hesap anahtarını alırlar. Daha sonra uygulama, yeni API istekleri yapmak ve kullanıcı izinleriyle kimliği doğrulanmış oturumda oturum açmak için bir QB-Token ister.
Kusur burada tespit edildi. Uygulama oturumu, bir kullanıcı oturumu oluşturmak için gereklidir; bu, her kullanıcının önce oturumu alması gerektiği anlamına gelir. Bu, kullanıcının uygulamanın kimliğini, yetkilendirme anahtarını, yetkilendirme sırrını ve hesap anahtarını bilmesi durumunda mümkündür. Bu anahtarlara tüm kullanıcılar tarafından erişilebilir olmalıdır ve araştırmacılar, çoğu kullanıcının uygulama sırlarını uygulamaya basitçe eklediğini ve böylece onları kamuya açık bilgi haline getirdiğini belirtti.
Sırlar, rakipler tarafından tersine mühendislik yoluyla çıkarılabilir veya yalnızca uygulama düzeyinde oturum bilgileriyle popüler uygulamalar için veritabanından sızdırılabilir. Saldırganlar, kullanıcı listesi gibi hassas verileri, ad, e-posta adresi ve telefon numarası gibi PII kullanıcı verilerini elde edebilir ve yeni kullanıcılar vb. oluşturabilir.
Uygulamadan statik QuickBlox ayarlarını çıkarabilen herkes, tüm uygulama kullanıcılarının kişisel kullanıcı bilgilerini alabilir veya saldırgan tarafından kontrol edilen birden çok hesap oluşturabilir. Ayrıca, QuickBlox sıralı kimlikler kullandığından, saldırganlar sınırlı bir aralığı kaba kuvvet uygulayarak belirli kullanıcı ayrıntılarını sızdırmak için hileli bir kullanıcı hesabı oluşturabilir.
Ekipler, keşfedilen kusurları gidermek için şirketle işbirliği yaptı. Bildirildiğine göre QuickBlox, sorunu çözmek için daha güvenli bir mimari ve API tasarladı ve kullanıcıları en son çerçeve sürümüne geçmeye teşvik ediyor.
İLGİLİ MAKALELER
- Küresel Çeviri Hizmeti Çevrimiçi Olarak Hassas Kayıtları Açığa Çıkardı
- Ücretsiz VPN Hizmeti SuperVPN 360 Milyon Kullanıcı Kaydını Ortaya Çıkardı
- ABD Fed Ağlarında Açığa Çıkan Arayüzler: Gerçekleşmeyi Bekleyen Bir İhlal