Bluebox安全公司的Andrew Blaich表示,在RSA 2016大会上,参展商曾向与会者展示了一款能够扫描代理胸卡的官方RSA手机应用程序,但是这个程序中包含硬编码密码,供应商可以利用这个应用程序来访问设备上的所有功能。
在旧金山的大型会议展厅中,供应商可以利用这一功能来将三星的Galaxy S4手机锁定为kiosk模式,而且还可以将其用作代理胸卡的扫描器。
安全研究人员Blaich从应用商店中下载了这款应用程序,并且在软件的功能代码中发现了一个硬编码的管理员密码。一旦拥有这个密码,攻击者就可以获取到目标手机的控制权限了。
他表示:“攻击者可以利用这个密码来访问应用程序的开发者模式,获取设备的root权限,提取出设备中的所有数据,甚至还可以向目标设备中安装恶意软件以窃取更多的数据。”这样一来,这些手机可以用于扫描胸卡,而与胸卡直接相关的正是某一安全大会与会者的身份信息。所以这绝对是一件非常糟糕的事情。
Blaich表示:“如果你开发出了一款手机端的应用程序,那么通常情况下,最好不要在应用程序的代码中留下硬编码的密码。而且,也并不是说这款应用程序是在全世界最大的网络安全会议上使用的,它就是最安全的。”
根据研究人员的分析,在应用程序代码中发现的硬编码密码能够允许攻击者访问应用程序的设置信息。这样一来,攻击者就可以访问到手机的系统设置,而且还可以激活设备的开发者模式,以获得目标手机的完整控制权。
Blaich认为,这个硬编码密码是一种回退机制,当管理员的自定义密码丢失时,可以使用这一硬编码密码来访问系统。
这个应用程序应该含有一个防御机制,可以检测到开发者模式的激活状态,而且应该能够向管理员发送警报信息。
这也就意味着,安全研究人员认为在应用程序的开发过程中,这一安全机制的添加是理所当然的。
除了Blaich的这一发现之外,研究人员还发现,有的代理程序甚至能够将RSA胸卡的数据信息克隆至其他的NFC设备。也就是说,攻击者一旦获取到与会者的身份信息,他们就可以随意使用这些身份识别信息了。
发表评论
您还未登录,请先登录。
登录