-
06/04/2022
-
24
-
41 bài viết
Lỗ hổng cho phép chiếm đoạt tài khoản trong ứng dụng cân thông minh
Các chuyên gia an ninh mạng đã tuyên bố rằng chuỗi lỗ hổng Zero-day chưa được vá có thể làm lộ tất cả dữ liệu của người dùng trong thành phần phụ trợ của một ứng dụng theo dõi cân nặng thông minh.
Dữ liệu người dùng liên quan đến ít nhất 500.000 tài khoản Android đang gặp rủi ro.
Bogdan Tiron, đối tác quản lý tại công ty thông tin tin học Fortbridge của Anh, đã phát hiện ra 5 lỗ hổng trong ứng dụng Yunmai Smart Scale và 3 trong số đó có thể được kết hợp với nhau để chiếm đoạt tài khoản và truy cập thông tin chi tiết của người dùng như tên, giới tính, tuổi, chiều cao, mối quan hệ gia đình và ảnh hồ sơ.
Kể từ ngày 12/5, nhà cung cấp các sản phẩm IoT có trụ sở tại Trung Quốc - Zhuhai Yunmai Technology đã triển khai bản sửa lỗi chỉ cho một trong các lỗi trên. Thậm chí ngay sau đó, Tiron cho biết anh đã vượt qua được bản vá.
Các lỗ hổng đã được phát hiện trong một thử nghiệm thâm nhập của ứng dụng Yunmai Android và iOS.
Chỉ riêng ứng dụng Android đã được tải xuống hơn 500.000 lần.
Chuỗi 3 mã khai thác đầu tiên liên quan đến việc liệt kê các UserID bằng một cuộc tấn công Brute-Force để làm rò rỉ các giá trị tài khoản cha puId. Giá trị puId sau đó được sử dụng để thêm các tài khoản con (thành viên trong gia đình) vào tài khoản cha đã đăng ký. Điều này thực hiện được có thể là do API không thực hiện việc kiểm tra ủy quyền.
Cuối cùng, khi tài khoản gia đình được tạo, accessToken và refreshToken tương ứng sẽ bị rò rỉ và kẻ tấn công có thể lợi dụng để “mạo danh tài khoản thành viên gia đình", sau đó chuyển đổi giữa các tài khoản của các thành viên gia đình và truy vấn tất cả dữ liệu của họ" - theo một bài đăng trên blog được viết bởi Tiron.
Trong khi đó, lỗ hổng thứ tư có thể giúp những kẻ tấn công chiếm đoạt bất kỳ tài khoản người dùng nào vì chức năng 'đặt lại mật khẩu' của Android không vô hiệu hóa đúng cách trước khi tạo token 'quên mật khẩu' khi người dùng yêu cầu một token “quên mật khẩu” mới (chức năng này không hoạt động trên ứng dụng iOS).
“Do đó, kẻ tấn công có thể yêu cầu nhiều mã thông báo được gửi đến email của nạn nhân, để tăng cơ hội đoán mã đó và thay đổi mật khẩu của nạn nhân”, Tiron nói.
Lỗ hổng thứ năm và cũng là lỗ hổng cuối cùng cung cấp khả năng bỏ qua giới hạn 16 thành viên gia đình cho mỗi tài khoản chính, vì giới hạn được thực thi ở phía máy khách chứ không phải phía máy chủ.
Tiron đã công bố phát hiện của mình vào ngày 30 tháng 5.
Nhà nghiên cứu nói với The Daily Swig: “Theo tôi biết thì chưa có vấn đề nào được khắc phục". Lần gần nhất tôi kiểm tra là vào ngày 12/5, tất cả các phát hiện vẫn chưa được vá."
Nhà nghiên cứu cho biết ông đã vượt qua thành công bản sửa lỗi duy nhất, cho vấn đề "quên mật khẩu".
“Thật không may, người dùng Yunmai đang gặp phải những vấn đề này và họ không thể làm gì để bảo vệ mình ở cấp ứng dụng, bởi vì đây là tất cả các vấn đề với API phụ trợ và chỉ các nhà phát triển Yunmai mới có thể khắc phục chúng”, Tiron tiếp tục.
“Các thiết bị IoT đã có tiếng xấu về mặt an ninh trong vài năm qua và thật đáng buồn khi mọi thứ không được cải thiện. Chúng tôi đã mong đợi rằng Yunmai sẽ thực hiện ít nhất một bài kiểm tra trước khi phát hành sản phẩm này hoặc ít nhất là họ sẽ phản hồi tốt hơn khi chúng tôi liên hệ với họ”.
Chúng tôi đã mời Zhuhai Yunmai Technology bình luận về những phát hiện này và sẽ cập nhật bài viết nếu và khi họ trả lời.
Như các báo cáo trước đây của The Daily Swig, các nghiên cứu của Fortbridge vào năm ngoái bao gồm việc phát hiện ra các lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng trong các hệ thống quản lý nội dung phổ biến (CMS) Concrete và Joomla, cũng như trong nền tảng lưu trữ web cPanel & WHM.
Dữ liệu người dùng liên quan đến ít nhất 500.000 tài khoản Android đang gặp rủi ro.
Bogdan Tiron, đối tác quản lý tại công ty thông tin tin học Fortbridge của Anh, đã phát hiện ra 5 lỗ hổng trong ứng dụng Yunmai Smart Scale và 3 trong số đó có thể được kết hợp với nhau để chiếm đoạt tài khoản và truy cập thông tin chi tiết của người dùng như tên, giới tính, tuổi, chiều cao, mối quan hệ gia đình và ảnh hồ sơ.
Kể từ ngày 12/5, nhà cung cấp các sản phẩm IoT có trụ sở tại Trung Quốc - Zhuhai Yunmai Technology đã triển khai bản sửa lỗi chỉ cho một trong các lỗi trên. Thậm chí ngay sau đó, Tiron cho biết anh đã vượt qua được bản vá.
Các lỗ hổng đã được phát hiện trong một thử nghiệm thâm nhập của ứng dụng Yunmai Android và iOS.
Thông tin thêm về lỗ hổng
Cân thông minh Yunmai và ứng dụng đi kèm cho phép người dùng ghi lại và theo dõi cân nặng, chỉ số khối cơ thể (BMI), tỷ lệ mỡ cơ thể, mỡ nội tạng và nhiều chỉ số sức khỏe khác.Chỉ riêng ứng dụng Android đã được tải xuống hơn 500.000 lần.
Chuỗi 3 mã khai thác đầu tiên liên quan đến việc liệt kê các UserID bằng một cuộc tấn công Brute-Force để làm rò rỉ các giá trị tài khoản cha puId. Giá trị puId sau đó được sử dụng để thêm các tài khoản con (thành viên trong gia đình) vào tài khoản cha đã đăng ký. Điều này thực hiện được có thể là do API không thực hiện việc kiểm tra ủy quyền.
Cuối cùng, khi tài khoản gia đình được tạo, accessToken và refreshToken tương ứng sẽ bị rò rỉ và kẻ tấn công có thể lợi dụng để “mạo danh tài khoản thành viên gia đình", sau đó chuyển đổi giữa các tài khoản của các thành viên gia đình và truy vấn tất cả dữ liệu của họ" - theo một bài đăng trên blog được viết bởi Tiron.
Trong khi đó, lỗ hổng thứ tư có thể giúp những kẻ tấn công chiếm đoạt bất kỳ tài khoản người dùng nào vì chức năng 'đặt lại mật khẩu' của Android không vô hiệu hóa đúng cách trước khi tạo token 'quên mật khẩu' khi người dùng yêu cầu một token “quên mật khẩu” mới (chức năng này không hoạt động trên ứng dụng iOS).
“Do đó, kẻ tấn công có thể yêu cầu nhiều mã thông báo được gửi đến email của nạn nhân, để tăng cơ hội đoán mã đó và thay đổi mật khẩu của nạn nhân”, Tiron nói.
Lỗ hổng thứ năm và cũng là lỗ hổng cuối cùng cung cấp khả năng bỏ qua giới hạn 16 thành viên gia đình cho mỗi tài khoản chính, vì giới hạn được thực thi ở phía máy khách chứ không phải phía máy chủ.
Bản vá một phần
Tiron đã thông báo các sai sót trong tháng 9 và tháng 10 năm 2021. Đội hỗ trợ của Yunmai đã phản hồi về tiết lộ ban đầu, nhưng nhóm phát triển thì chưa, và lần cuối Fortbridge gửi email trực tiếp cho họ là vào ngày 18 tháng 5.Tiron đã công bố phát hiện của mình vào ngày 30 tháng 5.
Nhà nghiên cứu nói với The Daily Swig: “Theo tôi biết thì chưa có vấn đề nào được khắc phục". Lần gần nhất tôi kiểm tra là vào ngày 12/5, tất cả các phát hiện vẫn chưa được vá."
Nhà nghiên cứu cho biết ông đã vượt qua thành công bản sửa lỗi duy nhất, cho vấn đề "quên mật khẩu".
“Thật không may, người dùng Yunmai đang gặp phải những vấn đề này và họ không thể làm gì để bảo vệ mình ở cấp ứng dụng, bởi vì đây là tất cả các vấn đề với API phụ trợ và chỉ các nhà phát triển Yunmai mới có thể khắc phục chúng”, Tiron tiếp tục.
“Các thiết bị IoT đã có tiếng xấu về mặt an ninh trong vài năm qua và thật đáng buồn khi mọi thứ không được cải thiện. Chúng tôi đã mong đợi rằng Yunmai sẽ thực hiện ít nhất một bài kiểm tra trước khi phát hành sản phẩm này hoặc ít nhất là họ sẽ phản hồi tốt hơn khi chúng tôi liên hệ với họ”.
Chúng tôi đã mời Zhuhai Yunmai Technology bình luận về những phát hiện này và sẽ cập nhật bài viết nếu và khi họ trả lời.
Như các báo cáo trước đây của The Daily Swig, các nghiên cứu của Fortbridge vào năm ngoái bao gồm việc phát hiện ra các lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng trong các hệ thống quản lý nội dung phổ biến (CMS) Concrete và Joomla, cũng như trong nền tảng lưu trữ web cPanel & WHM.
Nguồn: Port Swigger
Chỉnh sửa lần cuối bởi người điều hành: