パスワードを忘れた? アカウント作成
13582546 story
バグ

RSA Conferenceの公式モバイルアプリに脆弱性 1

ストーリー by hylom
またRSA-Conferenceか 部門より
headless曰く、

20日まで米国・サンフランシスコで開催されたRSA Conference USA 2018の公式モバイルアプリで、登録ユーザーの姓名を含むリストにアクセス可能な脆弱性が見つかったそうだ(発見者のツイートArs TechnicaRegister)。

このアプリはイベント用アプリを専門にするEventbase Technologyが開発したもの。一部の機能でログインが必要となっており、RSA Conferenceの公式サイトで作成したアカウントでログインするとトークンを含むXMLファイルが生成される。このトークンを指定してEventbase TechnologyのWeb APIにアクセスするとSQLiteデータベースファイルのURLを含むJSONレスポンスが返される。データベースファイルは暗号化されているが、レスポンスヘッダーにデータベースハッシュが含まれており、復号に必要な情報がすべて取得可能な状態だったという。

発見者は100件以上の姓名を確認したところで調査を打ち切り、報告を受けたRSA ConferenceとEventbase Technologyは問題を数時間で修正したとのこと。RSA Conferenceの公式Twitterアカウントは、アクセスされた姓名が114件だったと報告している。RSA Conferenceの公式モバイルアプリでは別の開発元による2014年版でも、アプリがダウンロードするイベントデータのデータベースファイルに登録ユーザーの個人情報が含まれるという問題が発覚している。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
typodupeerror

開いた括弧は必ず閉じる -- あるプログラマー

読み込み中...