Una vulnerabilità in the Sky Go, applicazione desktop Windows che le perdite della sessione di dati, inclusi i nomi utente è stato divulgato da un ricercatore.
In base all’applicazione esperto di sicurezza Sean Wright, la falla di sicurezza, CVE-2018-18908, riguarda il trasferimento di dati in formato testo normale.
L’applicazione desktop svolge numerose richieste via HTTP. Senza alcuna forma di crittografia, i dati inviati attraverso queste richieste non viene generato un hash o protetti, lasciando agli utenti di aprire per l’attacco.
In particolare, l’Uomo-in-The-Middle (MiTM), gli attacchi sono di preoccupazione, in cui minaccia di attori in grado di monitorare in chiaro i flussi di dati e di manomettere i canali di comunicazione o rubare dati.
In questo caso, Wright dice Sky Go nomi utente e altri dati di sessione è a rischio.
“Quando l’applicazione viene inizialmente installato ed eseguito, la vittima Cielo username è presente in diverse richieste che vengono eseguite tramite HTTP semplice, Wright dice. “Così, un utente malintenzionato in grado di ottenere l’accesso a queste richieste tramite un attacco MiTM, sarebbe in grado di ottenere il nome utente della vittima.”
“Alcune delle richieste che contiene informazioni potenzialmente sensibili che potrebbero essere utili per un malintenzionato,” il ricercatore aggiunto.
Vedi anche: DarkHydrus abusi di Google Drive per diffondere Trojan RogueRobin
Scoperto il 22 Maggio 2018 e pubblicamente il 19 gennaio 2019, il problema è stato emesso un CVVSv3 punteggio di base 5.4.
La vulnerabilità, impatti Sky Go versioni 1.0.23-1 – 1.0.19-1, anche se il ricercatore ha osservato che le altre versioni possono anche essere colpiti.
Wright anche fornito i passaggi per riprodurre il difetto di proof-of-concept (PoC) del codice.
Dopo la divulgazione del problema di sicurezza a Sky il giorno stesso della scoperta, circa una settimana dopo, il venditore ha detto che stava studiando. L ‘ 8 giugno, Sky ha detto Wright che il problema era stato risolto, ma non è stato fino a settembre, quando la società ha rivelato una patch dovrebbe essere applicato durante prevista versioni.
TechRepublic: gli Hacker di turno per il furto di dati e la rivendita sul Buio Web per gli più alti versamenti
Non è noto se la vulnerabilità è stata corretta. Wright ci ha detto che dopo il 20 novembre, quando Sky ha assicurato il ricercatore una patch era il suo modo, ha “ricevuto nessuna ulteriore risposta da parte di Sky, quindi sto assumendo che non hanno ancora comunicato la correzione.”
Sky iniziato lanciando una correzione dell’ultimo anno e il processo di patch dovrebbe concludersi entro la fine di gennaio.
CNET: Anche se sei fuori di social media, i tuoi amici potrebbero essere di rovinare la vostra privacy
“Data la necessità per le aziende di spostare HTTPS questo problema ancora in evidenza che anche le grandi aziende sono ancora in ritardo di sviluppo, nonché trascinando dietro quando si tratta di risolvere questi problemi, Wright ha detto di ZDNet. “Speriamo che da sottolineare pubblicamente alcuni di questi problemi si può sperare di ottenere la visibilità di questi tipo di problemi e aziende che, finalmente, iniziare a prestare l’adeguata attenzione a loro.”
Precedente e relativa copertura
Drone sviluppatore DJI dice dipendente schema di frode potrebbe causare $150 milioni di perdita
Islanda Bitcoin bandito condannato per il furto di data mining rig
Trio mandato dietro le sbarre oltre illegale di droga, painkiller compravendite nel Buio Web
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati