En sårbarhed i Himlen Gå til Windows desktop-applikation, der utætheder session data, herunder brugernavne, der er blevet offentliggjort af en forsker.
I henhold til ansøgningen sikkerhed ekspert Sean Wright, det sikkerhedshul, CVE-2018-18908, vedrører overførsel af data med almindelig tekst.
Desktop applikation udfører flere anmodninger over ren HTTP. Uden nogen form for kryptering på plads, alle oplysninger, der sendes via disse anmodninger er ikke krypteret eller beskyttet, forlader brugerne er åben for angreb.
I særdeleshed, Man-in-The-Middle (MiTM) angreb er af betydning, i hvilken trussel aktører, der kan overvåge, ukrypterede data strømme og enten manipulere med kommunikation kanaler eller stjæle data.
I dette tilfælde, Wright siger Himmel Gå brugernavne og andre session data er i fare.
“Når programmet er i første omgang installeret og kører, ofrets Himlen brugernavn er til stede i flere anmodninger, der er udført i løbet af ren HTTP,” Wright siger. “Således en angriber, der er i stand til at få adgang til disse anmodninger via et MiTM-angreb, ville være i stand til at få ofrets brugernavn.”
“Nogle af de anmodninger, der indeholder potentielt følsomme oplysninger, som kan være nyttige for en angriber,” den forsker, der er tilføjet.
Se også: DarkHydrus misbrug Google Drev til at sprede RogueRobin Trojan
Først blev opdaget den 22. Maj 2018 og offentliggøres på 19 januar 2019, problemet er blevet udstedt en CVVSv3 base score på 5.4.
Sårbarheden virkninger Himmel Gå versioner 1.0.23-1 – 1.0.19-1 selv om forskeren bemærkes, at andre versioner kan også blive påvirket.
Wright også skridt til at reproducere fejl ved proof-of-concept (PoC) for kode.
Efter at afsløre den sikkerhedsproblem til at Himlen på samme dag som discovery, omtrent en uge senere, sælgeren sagde det var at undersøge. Den 8. juni, Himlen fortalte Wright, at problemet blev løst, men det var ikke før i September, da selskabet afslørede en patch vil blive anvendt under planlagte udgivelser.
TechRepublic: Hackere tur til data tyveri og videresalg på den Mørke Web til højere udbetalinger
Det vides ikke, om den sårbarhed, som er blevet rettet. Wright fortalte os, at efter 20 November, når Himlen sikker på, at den forsker, der er et patch, der var på vej, han “fik ikke yderligere svar fra Himlen, så jeg antager, at de har endnu til at slippe løs.”
Himlen er begyndt at udrulle en rettelse til sidste år, og plasteret proces forventes at slutte med udgangen af januar.
CNET: Selv hvis du er off sociale medier, vil dine venner kunne være at ødelægge dit privatliv
“Da det er nødvendigt for virksomheder at flytte til HTTPS dette spørgsmål stadig fremhæver, at selv større virksomheder stadig halter bagefter, såvel som at trække bagud, når det kommer til løsning af disse problemer,” Wright fortalte ZDNet. “Forhåbentlig ved offentligt at fremhæve nogle af disse spørgsmål kan vi forhåbentlig få synlighed med hensyn til disse typer af spørgsmål, og få virksomheder til at endelig begynde at betale behørig opmærksomhed til dem.”
Tidligere og relaterede dækning
Drone udvikler DJI siger medarbejder bedrageri kan forårsage $150 millioner tab
Islands Bitcoin bandit er blevet dømt for at stjæle minedrift rigge
Trio sendt bag tremmer over ulovlige stoffer, smertestillende handler i the Dark Web
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre