ГлавнаяИсследованияПриложение Wind Vision для Android: данные клиентов находятся под угрозой со стороны хакеров!

Приложение Wind Vision для Android: данные клиентов находятся под угрозой со стороны хакеров!

Приложение Wind Vision для Android: данные клиентов находятся под угрозой со стороны хакеров! В приложении Wind Vision для Android обнаружены уязвимости безопасности услуга от оператора связи Wind Hellas. Ошибки безопасности в приложении допускают нарушение законных учетных записей пользователей, а также кражу паролей и других учетных записей.

Согласно конфиденциальной информации пользователя SecNews, который отправил анонимное сообщение с анонимностью, внедрение Wind Hellas представляет опасность для сотен граждан Греции. которые имеют услугу подписки и используют ее на своих личных устройствах. В приложении уже были обнаружены четыре (4) критических уязвимости, и хотя по состоянию на 14 ноября 2020 года Wind Hellas стало известно, официального ответа / объявления или обновления не поступало, если и когда проблема безопасности была решена.

Android-приложение Wind Vision: взломщики данных клиентов Wind hackers
Приложение Wind Vision для Android: данные клиентов находятся под угрозой со стороны хакеров!

Wind Vision - это услуга цифрового телевидения, предлагаемая WIND Hellas., греческий телекоммуникационный провайдер, обеспечивающий поток цифрового контента. Мобильное приложение Wind Vision, доступное для устройств Android и Ios, позволяет пользователям смотреть телевизор "на ходу" с смартфон свои устройства.

Приложение Wind Vision для Android доступно в магазине Google Play. Последняя доступная версия приложения (10.0.16) оказалась уязвимой для четырех проблем безопасности. Уязвимости можно объединить для создания цепочки атак, которая позволит вредоносному приложению, организованному хакерами, проникнуть в учетную запись пользователя-жертвы.

Взломав законную учетную запись, злоумышленник (хакер) может перейти к загрузка и просмотр телевизионного контента с использованием помощи жертвы. Также хакер имеет возможность заблокировать доступ легальному подписчику в приложении, изменив ПИН-код и заменив зарегистрированные устройства. В результате тысячи законных пользователей могут оказаться вне досягаемости и потерять все деньги, которые они заплатили за свою подписку.. Стоит отметить, что злоумышленник, использующий взломанные аккаунты в финансовом отношении, может продавать по Dark Web все пароли.  

Хакеры ветра

Команда SecNews должна предупредить вас о наибольшем риске потенциальной продажи украденных паролей из Android-приложения Wind Vision. В частности, те легальные пользователи, которые выбрали кого-то в качестве пароля для подписки пароль, уже используется в других сервисах, государственных платформах (www.efka.gov.gr) учетные записи социальных сетей (Facebook, Instagram, Twitter, TikTok др.), а также услуги электронного банкинга (интернет-банкинг) Существует высокий риск взлома этих сервисов в случае использования общего пароля. Будьте очень осторожны, если у вас есть Android-приложение Wind Vision для немедленной смены паролей, как и в любой другой учетной записи, в которой вы используете общие учетные данные.

В инфраструктуре IPTV Wind использовалось решение Zappware Nexx4. Кроссплатформенные решения Zappware для услуг DVB, IPTV и OTT используются поставщиками телекоммуникационных услуг во многих странах, включая Wind Hellas. Некоторые из поставщиков:

  • A1 Хорватия
  • A1 Болгария
  • A1 Словения
  • Orange Бельгия
  • A1 Австрия
  • Тринидад и Тобаго / Карибская Амплия

Поскольку проблемы с Wind Vision повлияли на программное обеспечение Zappware, миллионы пользователей во всем мире могут оказаться в опасности.

Несмотря на то, что в последние месяцы с Zappware неоднократно обращались (20, 11 и 2020), что приложение Wind Vision для Android не было обновлено для включения соответствующих обновлений об обнаруженных уязвимостях., пробелы в безопасности Неизвестно, были ли они исправлены на момент написания.

Android-приложение Wind Vision: взломщики данных клиентов Wind hackers
Приложение Wind Vision для Android: данные клиентов находятся под угрозой со стороны хакеров!

Необходимо исправить серьезные проблемы безопасности, например, связанные с приложением Wind Vision для Android, и приоритет следует отдавать разработке новых функций для защиты конфиденциальности пользователей и защиты их учетных записей.

Чтобы подчеркнуть, что уязвимости были ответственно раскрыты Zappware и Wind Hellas исследователем безопасности, который обнаружил уязвимость, предоставив подробные инструкции по восстановлению и рекомендации для помощи в процессе исправления.

Техническое описание пробелов в безопасности

В следующем разделе представлен краткий обзор обнаруженных уязвимостей, а также некоторые технические детали.

CVE-2021-22268: небезопасная аутентификация

Wind Vision обеспечил аутентификацию пользователя через поток «Код авторизации» Oauth2 с использованием веб-браузера (веб-браузер). Выбранный метод аутентификации пользователя не был безопасным, поскольку назначенный код мог быть перехвачен сторонними приложениями и заменен на действительный токен сеанса. Эта проблема в сочетании с нарушением URL-адреса, описанным ниже, позволяет получить учетную запись жертвы после того, как пользователь был первоначально обманут (обычно через социальная инженерия), чтобы щелкнуть неправильное приложение оператора.

CVE-2021-22269: утечка PIN-кода

«Главный PIN-код», необходимый приложению для определения определенных настроек, просочился во время обмена данными приложения с серверами (серверные коммуникации). Следовательно, можно остановить перехват четырехзначного кода, проанализировав сетевой трафик, так как приложение не использовало закрепление сертификата.

CVE-2021-22270: перехват URL

Приложение Wind Vision небезопасно использовало механизм межпроцессного взаимодействия (IPC) схемы URL, предлагаемый операционной системой Android. Реализация Deep Link подвержена «Удовольствие URLАтака, позволяющая сторонним вредоносным программам запускать или красть конфиденциальные данные, заставляя пользователя принять неправильный «обработчик» для зарегистрированной схемы URL.  

Приложение Wind Vision для Android: данные клиентов находятся под угрозой со стороны хакеров!

CVE-2021-22268: идентификатор воспроизводимого устройства

Пользователи Wind Vision могут зарегистрировать несколько устройств в своей подписке, которые затем отслеживаются в соответствии с идентификатором устройства, сгенерированным локально. Однако этот процесс создания прост, поскольку в нем не используется случайный порядок. В результате действительный идентификатор устройства может быть воссоздан из сторонних приложений, работающих на том же устройстве. Если такие вредоносные приложения также поддерживают один действительный токен сеанса, они могут затем отправлять действительные запросы к серверу Wind Vision, у которого есть доступ ко всем функциям пользователей, включая потоковую передачу ТВ-контента.

Когда были обнаружены другие уязвимости (CVE-2021-22270, CVE-2021-22268), они могли войти в систему, чтобы получить токен сеанса, используя эту уязвимость системы безопасности, ведущую к взлому учетных записей Wind Vision.   

Android-приложение Wind Vision: взломщики данных клиентов Wind hackers
Хакеры ветра

SecNews публикует эту статью, чтобы проинформировать общественность о такой серьезной проблеме безопасности и предупредить тех пользователей, которые могут подвергаться риску. Мы предполагаем, что, поскольку платформа Zappware третье лицо, Wind должен потребовать немедленного исправления от поставщика (патч поставщика), если уязвимость действительна на момент написания этих строк.

 Поскольку мы являемся чисто журналистским и информативным веб-сайтом, наша главная цель - незамедлительно информировать наших пользователей о ключевых вопросах, связанных с кибербезопасность.

Обратите внимание, что уязвимости в системе безопасности были обнаружены после независимого расследования, проведенного Леонида Цауси (@laripping) компании F-Secure Consulting.

Леонида Цауси Твиттере

*Отказ от ответственности: SecNews подтвердила достоверность источника. Расследование уязвимости было проведено экспертом по безопасности Леонидасом Цаусисом, и SecNews не несет ответственности за возможные различия или конфигурации, сделанные после публикации этой статьи.

в SecNews публикует статью для защиты личных данных наших читателей и общества в целом.

Кроме того, цель SecNews - проинформировать компанию о публикации на иностранном веб-сайте уязвимости, чтобы предпринять необходимые корректирующие действия (поставщику платформы Zappware), если это еще не было сделано.

spot_img

ЖИВЫЕ НОВОСТИ