Tin An Ninh Mạng

Ứng dụng My FiOS cho Android của Verizon tồn tại lỗ hổng

Một lỗi an ninh trên ứng dụng điện thoại My FiOS của Verizon cho phép truy cập bất hợp pháp nội dung trong hộp thư của người khác.

{

}

14908931451.20FiOS.jpg

Bằng cách khai thác lỗ hổng, người dùng bình thường có thể tiếp cận các tin nhắn email của người dùng khác, hoặc gửi mail dưới danh nghĩa của người dùng này.

Nhà nghiên cứu Randy Westergren đã phát hiện ra lỗi thông qua việc kiểm tra lưu lượng đường truyền giữa khách hàng My FiOS và máy chủ của Verizon.

My FiOS cho phép truy cập vào tài khoản và dịch vụ Verizon của khách hàng, ứng dụng này còn có thể được sử dụng để nghe thư thoại, thanh toán hóa đơn và kiểm tra các hoạt động gần đây của tài khoản và thanh toán quà tặng của công ty.

Westergren phát hiện ra rằng chỉ cần thay ID của mình trong truy vấn web bằng ID của một người dùng khác là có thể xem những email của người dùng này.

Trước đó, Westergren nghĩ rằng trạng thái đăng nhập và cookie lưu trữ phiên làm việc hiện tại có thể ngăn tiếp cận hộp thư của người khác. Tuy nhiên, kết quả chỉ ra rằng việc đó không xảy ra và Westergren vẫn có thể gửi thư bằng tài khoản của một người khác.

Sau khi thử nghiệm nhiều lần, Westergren khẳng định các phương thức API (Giao diện lập trình ứng dụng) được sử dụng trong ứng dụng điện thoại có lỗ hổng, ông đã tạo ra một kịch bản proof-of-concept để mô tả phát hiện của mình và gửi kết quả cho Verizon. Đoạn mã đơn giản và có thể đăng nhập vào tài khoản của người dùng hợp lệ, tiếp cận tiêu đề các mail của tài khoản, sau đó in ra địa chỉ và dòng tiêu đề của người gửi.

Ngày thứ Năm, Verizon đã khẳng định có tồn tại lỗ hổng và trong ngày thứ Sáu đã phát hành bản vá.

Nguồn: Softpedia

Đăng ký liền tay Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !

Add Comment

Click here to post a comment

Đăng ký liền tay
Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !