|
|
黑帽安全大會與不安全的特點(diǎn)從其移動應(yīng)用程序,監(jiān)控軟件,灰鴿子遠(yuǎn)程控制軟件
漏洞可能讓攻擊者欺騙參與者的身份,窺探他們的消息
黑帽有其移動應(yīng)用程序禁用功能因?yàn)楣粽呖梢栽诤戏ㄅc會者登錄����,留言在他們的名字和監(jiān)視他們發(fā)送的消息。
這個(gè)問題被發(fā)現(xiàn)的移動安全廠商Lookout那些細(xì)節(jié)問題在博客中說的注冊方法和密碼重置是有缺陷的����。
“[我們]我們已刪除用戶的郵件功能和活性飼料更新出于謹(jǐn)慎的考慮,“會議組織者UBM的發(fā)言人在一封電子郵件中說��。
問題源于一一事實(shí),新的帳戶創(chuàng)建沒有電子郵件驗(yàn)證��,即使當(dāng)用戶重置他們的密碼��,身份驗(yàn)證令牌并沒有被撤銷����。因此,攻擊者登錄已經(jīng)可以保持登錄��。
了望說��,它發(fā)現(xiàn)了幾個(gè)可能的威脅的問題�����。攻擊者可以假裝是別人�����,而使職位的會議活動飼料��,當(dāng)他們在應(yīng)用程序中使用的消息�����。
監(jiān)視別人的帳戶��,啟用的缺陷可能揭示受害者將在給定的時(shí)間��,創(chuàng)建一個(gè)物理安全風(fēng)險(xiǎn)�����。間諜將是持久的����,因?yàn)樯矸蒡?yàn)證令牌問題。
已經(jīng)下載了應(yīng)用程序的用戶不必更新它��,這將通過會議推送��。
|
|
加載中...
發(fā)表于 2016-7-30 09:44:18
收藏