主页调查Wind Vision Android应用程序:客户数据受到黑客的威胁!

Wind Vision Android应用程序:客户数据受到黑客的威胁!

Wind Vision Android应用程序:客户数据受到黑客的威胁! 在Wind Vision Android应用程序中发现了安全漏洞 一项服务 来自电信提供商Wind Hellas。 应用程序中的安全错误允许违反合法的用户帐户以及盗窃密码和其他帐户。

根据来自发送匿名消息的SecNews用户的机密信息, Wind Hellas的实施对数百名希腊公民构成威胁 拥有订阅服务并在其个人设备上使用订阅服务的用户。 应用程序中已经确定了四(4)个关键漏洞,截至14年2020月XNUMX日,Wind Hellas意识到,是否以及何时解决安全问题尚无官方回应/宣布或更新。

Wind Vision Android应用程序:黑客客户数据Wind黑客
Wind Vision Android应用程序:客户数据受到黑客的威胁!

Wind Vision是WIND Hellas提供的数字电视服务,这是允许数字内容流向的希腊电信提供商。 Wind Vision移动应用程序,适用于设备 Android系统 και iOS系统,使用户可以从 智能手机 他们的设备。

Google Play商店中提供了Wind Vision Android应用程序。 发现该应用程序的最新可用版本(10.0.16)容易受到四个安全问题的攻击。 漏洞可以组合在一起来创建一系列攻击,这些攻击将使黑客策划的恶意应用程序侵入用户受害者帐户。

通过入侵合法帐户,恶意用户(黑客)可以继续 通过滥用受害者的帮助来下载和观看电视内容。 另外,黑客有能力 阻止对合法订户的访问 在应用程序中通过更改PIN码并替换已注册的设备来实现。 结果,成千上万的合法用户可能会失去联系,并失去他们为订阅支付的所有资金。 值得一提的是,恶意用户在经济上利用了受侵害的帐户, 可能在 黑暗的网络 所有密码。  

风黑客

SecNews团队应警告您最大可能出售Wind Vision Android应用程序中被盗密码的风险。 具体来说,那些选择某人作为订阅服务密码的合法用户 密码 已经在其他服务,政府平台(www.efka.gov.gr)社交网络帐户(Facebook, Instagram, Twitter, TikTok 等),也包括电子银行服务(互联网银行) 如果使用通用密码,则很有可能违反这些服务。 请务必小心,如果您有Wind Vision Android应用程序可以立即更改密码,也可以使用通用凭据在任何其他帐户中更改密码。

Wind的IPTV基础架构使用Zappware的“ Nexx4”解决方案。 Zappware的DVB,IPTV和OTT服务的跨平台解决方案已在包括Wind Hellas在内的许多国家/地区运营的电信提供商使用。 一些提供程序是:

  • A1克罗地亚
  • A1保加利亚
  • A1斯洛文尼亚
  • 橙色比利时
  • A1奥地利
  • 特立尼达和多巴哥/加勒比海Amplia

由于Wind Vision的问题已影响Zappware软件,因此全球数百万用户可能会面临风险。

尽管最近几个月(20/11 / 2020、30 / 11/2020和22/12/2020)已与Zappware进行过几次联系,但Wind Vision Android应用程序尚未更新以包括对发现的漏洞的适当更新,τα 安全漏洞 不知道它们在撰写本文时是否已得到纠正。

Wind Vision Android应用程序:黑客客户数据Wind黑客
Wind Vision Android应用程序:客户数据受到黑客的威胁!

有必要修复严重的安全问题,例如与Wind Vision Android应用程序相关的问题, 并且应优先开发新功能以保护用户的隐私并保护其帐户。

为了强调 漏洞 安全研究人员负责地向Zappware和Wind Hellas揭示了该漏洞,并提供了详细的恢复说明和建议以协助修复过程。

安全漏洞的技术说明

以下部分简要概述了发现的漏洞以及一些技术细节。

CVE-2021-22268:不安全的身份验证

Wind Vision使用Web浏览器通过Oauth2“授权代码”流程提供了用户验证(网页浏览器)。 所选的用户身份验证方法不安全,因为分配的代码可能会被第三方应用程序拦截并交换为有效的会话令牌。 此问题与下面描述的URL违例相结合,允许在最初欺骗用户之后(通常是通过 社会工程学)以点击错误的操作员应用程序。

CVE-2021-22269:PIN码泄漏

应用程序为定义某些设置而需要的“主PIN码”,该设置在应用程序与服务器通信(服务器通信)期间泄漏。 因此,可以通过分析 网络流量,因为未找到该应用程序使用证书固定。

CVE-2021-22270:URL劫持

Wind Vision应用程序不安全地使用了Android操作系统提供的URL方案进程间通信(IPC)机制。 实施深层链接容易导致“URL劫持,一种允许第三方恶意软件启动或窃取敏感数据的攻击,诱使用户为注册的URL方案接受错误的“处理程序”。  

Wind Vision Android应用程序:客户数据受到黑客的威胁!

CVE-2021-22268:可复制设备ID

Wind Vision用户可以注册许多设备进行订阅,然后根据本地生成的设备ID对其进行跟踪。 但是,此创建过程很容易,因为它不使用随机顺序。 结果,可以从在同一设备上运行的第三方应用程序重新创建有效的设备ID。 如果此类恶意应用程序还维护一个 有效的会话令牌,然后他们可以向可以访问所有用户功能(包括流电视内容)的Wind Vision服务器发出有效请求。

当发现其他漏洞(CVE-2021-22270,CVE-2021-22268)时,它们可以登录以获取会话令牌,并结合利用此安全漏洞,从而导致违反Wind Vision帐户。   

Wind Vision Android应用程序:黑客客户数据Wind黑客
风黑客

SecNews发布此文章的目的是向公众通报这种严重的安全问题,并警告那些可能面临风险的用户。 我们猜测是因为Zappware平台是 第三方如果在编写这些行时该漏洞仍然有效,Wind应该要求立即从供应商处进行维修(供应商补丁)。

 作为一个纯粹的新闻和信息丰富的网站,我们的主要目标是立即向我们的用户通知与以下内容有关的关键问题 网络安全.

请注意,安全漏洞是由以下人员独立调查后发现的: 列奥尼达(Leonida Tsaousi)(@laripping)。

列昂尼达(Leonida Tsaousi) Twitter帐户

*免责声明:SecNews确认了消息来源的可靠性。 有关漏洞的调查是由安全专家Leonidas Tsaousis进行的,SecNews对本文发布后可能存在的差异或配置不承担任何责任。

该SecNews 出版该文章以保护我们的读者和整个社会的个人数据。

此外,SecNews的目标是通知公司有关外部漏洞的信息,以便在目前尚未采取措施的情况下(对Zappware平台的提供者)采取必要的纠正措施。

spot_img

实时新闻