参加今年黑帽大会的所有参与者的完整信息被以明文形式暴露,这些数据包括姓名、邮件、公司和电话号码。
2018黑帽大会的徽章嵌入了近场通信 (NFC) 标签,用于存储与会者的联系方式,用于识别或供供应商扫描以开展营销活动。
网络昵称为 “NinjaStyle” 的安全研究员注意到,通过 NFC 芯片读卡器扫描自己的徽章,就能看到明文形式的全名。不过他的邮件地址和其它信息无法以这种方式查看。
在另外的一个芯片记录中,阅读器将用户指向 BCard app,后者是可用于安卓和 iOS 版本的名片阅读器。
NinjaStyle 开始研究所推荐的卡片阅读器并编译了 APK 以查找潜在的 API 端点。他发现 BCard 使用徽章创建了一个自定义的URL 和徽章所有人的事件识别值,之后他就能判断这些值是如何构建的。
他指出,虽然能从代码中证实这些值的构建过程,但他通过向火狐浏览器发送请求的方式就猜测到了和 evened 和 badgeID 参数相对应的值。让人吃惊的是,他能够提取出完全未经 API 认证的与会信息。
这些详情足以执行暴力攻击,从而收集所有与会人员的联系详情。研究人员通过反复试验发现了有效 ID 数据的范围是 100000-999999,因此他能够提取详情。
他总结称,“黑帽大会的与会人员约为1.8万名,之后我们假设能够通过2%的请求枚举有效的 badgeID。”
NinjaStyle 使用 Burp Suite 测试了这个理论,通过估算得出,获得所有黑帽大会参与人员联系信息的时间是6小时。鉴于该会议在安全行业是黑客、企业和政府机构的主要活动,因此这种等待时间也很合理。
这名安全研究员将该安全缺陷告知 BCard 厂商,后者在不到24小时内通过禁用遗留的易泄露的 API 在不到24小时的时间内予以修复。
问题重重的 API 并非孤立存在,即使它服务的对象是安全会议的与会者。今年 RSA 会议的官方 app 在未得到任何保护措施的情况下运行,导致与会者信息遭泄露。总计共有144条记录遭越权访问。
本文由360代码卫士翻译自BleepingComputer
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
