首页保安健身应用管理平台公开用户数据

健身应用管理平台公开用户数据

中的漏洞 平台 健身应用管理 可以允许黑客 侵犯了数十个这样的用户帐户 应用,即使采用双重身份验证机制(2FA)已激活。

健身应用管理平台是 物理,总部位于以色列,可让客户处理对应用程序和体育馆的订阅。

影响Fizikal平台的许多漏洞可以用来 旁路控制 安全,列出他们 用户,蛮力攻击并访问用户帐户。

蛮力武力攻击

Ο 萨哈尔·阿维坦(Sahar Avitan),网络安全公司顾问 安全乔,总部位于以色列,发现 80个应用程序基于Physical API 确保更容易 访问 在体育俱乐部和可用的设施中。

大约有 70 物理应用 在Google Play商店的“健康和健身”类别中, 最近几天增加了许多。 一些较旧的应用程序下载次数超过5.000,并且总共安装了至少240.000 家电.

重设密码后,Avitan开始分析健身应用程序管理平台 法案 EZ形状,他使用的健身应用。 然后他注意到他收到了一个弱的4个字符的代码。

研究人员注意到,密码重置过程对数据库中的电话号码有不同的结果 数据 相对于那些不存在的。

健身应用

这使他可以更好地了解整个机制,从而可以绕过安全检查并列出用户。 这些 信息 允许他学习用户设置为通过短信接收OTP密码的电话号码, 当他们确认重设时。

此外,健身管理平台中的另一个错误使之成为可能 蛮力攻击OTP号码 (该过程大约在一分钟内完成) 并将它们发送到Fizikal API, 用户 收到通知。

据安全乔斯说, OTP验证过程不受反自动化机制或验证码的保护 这样可以防止暴力攻击尝试。

Avitan将OTP代码发送到了健身应用程序管理平台的服务器,并收到了创建新密码所必需的唯一TokenID。 然后,它将密码和新密码一起发送到HTTP标头中的服务器。

在某些帐户上中断帐户 应用 Fizikal Gym不仅允许攻击者 锁定合法用户或取消其订阅,但允许他访问个人用户信息:

  • 电话号码
  • 全名
  • 出生日期
  • 电邮地址
  • 邮寄地址
  • 身份证号码

Security Joes的创始人兼首席执行官Ido Naor说, 黑客 可以利用这些漏洞从其他用户那里获取信息。

研究人员称,以色列的Fizikal和CERT收到了有关调查结果的完整报告,并迅速采取行动解决了这些问题。

数字要塞https://www.secnews.gr
追求梦想与生活!

实时新闻