Team82 ve Check Point Research (CPR) ekibinden gelen son raporlar, sohbet ve video uygulamaları geliştirmek için kullanılan QuickBlox SDK (Yazılım Geliştirme Kiti) ve API’de (Uygulama Programlama Arayüzü) büyük bir güvenlik açığı olduğunu belirtiyor.
Araştırmacılar, uygulamalarını geliştirmek için QuickBlox çerçevesine dayanan düzinelerce uygulamada birden çok kullanıcı hesabını devralabilir.
Bu güvenlik açıkları QuickBlox’a bildirildi ve yeni güvenlik mimarisi ile düzeltildi.
QuickBlox Mimarisi
QuickBlox, geliştiricilerin yeni bir QuickBlox hesabı oluşturmasını gerektirir; bu hesap, QuickBlox Gösterge Tablosu ile birlikte uygulama için bir Uygulama Kimliği, Yetkilendirme Anahtarı, Yetkilendirme Sırrı ve Hesap Anahtarı içeren belirli kimlik bilgileriyle birlikte yeni bir uygulama oluşturur.
Bu kimlik bilgileri daha sonra, daha fazla API isteği için kullanılan bu uygulama için QB jetonunu istemek ve almak için kullanılır.
QB belirteci yeni uygulama tarafından alındığında, oturumu daha yetkili ve doğrulanmış hale getirmek için kullanıcı kimlik bilgilerini ve uygulama oturumunu gerektirir.
Buna ek olarak, uygulamanın her kullanıcısı, uygulama oturumunun QuickBlox belgelerine göre uygulamada oturum açmasını gerektirir.
QuickBlox kullanan uygulamaların çoğu, Frida gibi araçlarla tersine mühendislikle çıkarılması kolay olan uygulama kimlik bilgilerini uygulamalarına ekledi.
QuickBlox Güvenlik Açıkları
Bu uygulama gizli anahtarları çıkarıldıktan sonra, araştırma ekibinin uç noktalardan kullanıcıların tam listesi (/users.json), adı, e-postayı içeren PII kullanıcı bilgileri (/ID.json) gibi birden fazla bilgiyi çıkarması mümkün oldu. telefon numarası vb. ve yeni kullanıcılar oluşturun (/users.json).
Statik ayar bilgilerine sahip bir saldırgan, tüm kullanıcı hesaplarını ele geçirebilir ve saldırgan tarafından kontrol edilen birden çok hesap oluşturabilir.
Ayrıca, uygulamalarında uygun güvenlik önlemlerini uygulamayan birkaç uygulama vardı.
En kritik olanlar Teletıp ve İnterkom / İletişim endüstrilerindendi.
Vaka Çalışmaları ve Etki
Bir Teletıp android uygulaması ve uygulamalarında QuickBlox kullanan İsrail merkezli bir Intercom uygulaması üzerinde iki vaka çalışması yapılmıştır.
İnterkom örneğinde, araştırmacılar bilgileri ayıklayabildiler ve telefon dinleme, kapıları açma, mikrofonları kontrol etme ve çok daha fazlası gibi faaliyetler yürütebildiler.
Teletıp durumunda, araştırmacılar hastaların tıbbi kayıtları, sohbet geçmişleri, tıbbi geçmişleri, doktorların kayıtları vb. gibi kritik ve hassas bilgileri çıkarabilirler.
En kötü durumlarda, bu güvenlik açığından yararlanan tehdit aktörleri de gerçek bir doktorun kimliğine bürünebilir.
Team82 tarafından, istismar ve istismar için kullanılan yöntemler hakkında ayrıntılı bilgiler içeren eksiksiz bir rapor yayınlandı.