גירסת הדפסה        
   
קבוצות דיון סקופים נושא #648147 מנהל    סגן המנהל    מפקח   עיתונאי מקוון    צל"ש  
אשכול מספר 648147
miklo
חבר מתאריך 2.4.12
3168 הודעות
יום שני כ' באב תש''פ    22:17   10.08.20   
כרטיס אישי עבור לצ'אט  

פרצת אבטחה באפליקציות של מכוני כושר ישראליים עם יותר ממיליון הורדות - הפרצה נסגרה |החברה:תוקן תוך זמן קצר  

 
  
ערכתי לאחרונה בתאריך 10.08.20 בשעה 22:23 בברכה, miklo
 
אחרי ששכח את הסיסמה לאפליקציית חדר הכושר שלו גילה חוקר אבטחה ישראלי דרך קלה מאוד להשתלט על חשבונות של משתמשים ולהשיג גישה למידע אישי שלהם


לחץ כאן לצפיה דרך יוטיוב

חדרי הכושר ספגו לא מעט פגיעות בזמן משבר הקורונה, והדבר האחרון שהם היו צריכים עכשיו זו פרצת אבטחה באפליקציות שמשמשות את המנויים שלהם. אבל למרבה המזל, גילה אותה חוקר כובע לבן, לפני שתוקפים פחות נחמדים הניחו עליה את המקלדות שלהם.


שכח סיסמה, גילה פירצה

חוקר האבטחה סהר אביטן גילה פרצת אבטחה באפליקציות של עשרות מכוני כושר ומתנ”סים גדולים בישראל. המשותף לכל האפליקציות, שהורדו במצטבר יותר ממיליון פעמים, הוא שהן פותחו על ידי חברת Fizikal הישראלית. על פי נתוני Google Play, אחראית החברה על האפליקציות של מכוני כושר ופעילות גופנית כמו EZ Shape, גרייט שייפ, Space, זאוס, אייקון, קאנטרי גבעתיים, בריכת גורדון, דליה מנטבר – פילאטיס, הגראז’, אגף הספורט של עיריית רעננה, מועדון הכושר של עובדי התעשייה האווירית, מועדון הספורט כפר המכביה, WixFit של Wix ועוד.

החוקר גילה את הפרצה ממש במקרה, כאשר שכח את הסיסמה לאפליקציית הכושר שלו, וביקש להחליף אותה. כשהזין את מספר הנייד שלו הוא גילה שהמערכת, של האפליקציה שולחת ב-SMS סיסמה חד-פעמית (OTP) שמורכבת מארבע ספרות בלבד. לדברי אביטן, מדובר בסטנדרט בעייתי, והסטנדרט היום הוא משלוח סיסמה חד-פעמית שמורכבת מ-6 ספרות לפחות, זאת כדי להפחית את הסיכון לניחוש הסיסמה על ידי סקריפט.


בנוסף גילה החוקר כי בניגוד לנהוג, הוא הצליח לשלוח בקשת איפוס הסיסמה יותר משלוש פעמים ברצף – מה שלרוב גורם לחסימה של החשבון, אבל בפועל לא קרה באפליקציות של Fizikal. לאחר מכן ביצע אביטן תהליך של User Enumeration, כלומר, איתור שמות משתמשים על ידי בדיקה של מספרים והרצה של כל מספרי הטלפון האפשריים. לאחר מכן הוא שלח SMS עם ה-OTP למספר עם חשבון באפליקציה (המספר שלו כמובן, הוא לא פרץ לחשבון של מתאמנים תמימים), והריץ Brute Force כדי להגיע למספר הנכון – פעולה שלדבריו לקחה דקה אחת בדיוק. לאחר הזנת ה-OTP הנכון וקבלת ה-ID Token הוא יכל בקלות לשנות את הסיסמה ולהשתלט על החשבון

תוקף שהיה משיג כך גישה למערכת יכול היה לקבל גישה למספרי טלפון, שם פרטי ושם משפחה, תעודת זהות, כתובת מגורים, כתובת מייל ותאריך לידה של המתאמן. בנוסף, אחרי השתלטות כזו, יכול היה התוקף לבטל את המינוי של המשתמש מרחוק בלחיצת כפתור. אביטן עדכן את מערך הסייבר הלאומי על הפרצה, וזה פנה לחברה המפתחת את האפליקציות, שסגרה את הפרצה באותו היום.


מ-Fizikal נמסר לגיקטיים בתגובה:
“חברתנו קיבלה את ההתראה ממערך הסייבר הלאומי בגין החשש לחשיפה. חברת פיזיקל תיקנה את החשיפה בזמן קצר ונכון לרגע זה אין חשיפה או פגיעה. אנו מבקשים להודות למערך הסייבר ולאותו פלוני שהביא לידיעתנו את אותה חולשה. אנו נמשיך לפעול ולהעלות את רמת האבטחה והשמירה על הפרטיות עבור כלל לקוחותינו”.

GeekTime



✡OrderOfElite ✡ https://bit.ly/3faHhfR


              תגובה עם ציטוט   | תגובה מהירה         (ניהול: למבזק)        
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד




תגובה מהירה  למכתב מספר: 
 
      

__________________________________________________________________________
למנהלים:  נעל | נעל אשכול עם סיבה | מחק | העבר לפורום אחר | מזג לאשכול אחר | מחק תגובות | גיבוי אשכול | עגן אשכול
   
   


© כל הזכויות שמורות ל-רוטר.נט בע"מ rotter.net
חדשות