En sårbarhet i Himlen Gå Windows desktop-applikation med vilket läckage session data, inklusive användarnamn som har meddelats av en forskare.
Enligt application security expert Sean Wright, säkerhetsbrist, CVE-2018-18908, som avser överföring av data i klartext.
Den desktop-applikation som utför flera förfrågningar över vanlig HTTP. Utan någon form av kryptering på plats, all information som skickas via dessa krav är inte del av eller skyddade, vilket gör att användarna öppen för attack.
I synnerhet, Mannen-i-Mitten (MiTM) attacker är av intresse, i vilket hot aktörer kan övervaka okrypterade data flöden och antingen mixtra med kommunikation kanaler eller för att stjäla data.
I detta fall, Wright säger Sky Gå användarnamn och andra data session är i riskzonen.
“När programmet först installeras och köras, offrets Sky användarnamn finns i flera förfrågningar som utförs över vanlig HTTP,” Wright säger. “Således en angripare som kan få tillgång till dessa förfrågningar via en MiTM-attack, skulle kunna få offrets användarnamn.”
“Några av de önskemål som innehåller potentiellt känslig information som kan vara användbar för att en angripare,” forskaren lagt till.
Se även: DarkHydrus missbruk Google Drive för att sprida RogueRobin Trojan
Först upptäckte den 22 Maj 2018 och offentliggöra den 19 januari 2019, problemet har utfärdats en CVVSv3 bas betyg på 5,4.
Sårbarheten påverkar Sky Gå versioner 1.0.23-1 – 1.0.19-1 även om forskaren noteras att andra versioner kan också vara påverkat.
Wright också steg för att återskapa felet genom proof-of-concept (PoC) för kod.
Efter att avslöja säkerhetsproblem till Himlen på samma dag som discovery, ungefär en vecka senare, säljaren sa att det var att utreda. Den 8 juni, Sky berättade Wright att frågan var fast, men det var inte förrän i September när bolaget visade en lapp skulle tillämpas under planerade utgåvor.
TechRepublic: Hackare vända sig till stöld av data och försäljning på den Mörka Webben för högre vinster
Det är inte känt om sårbarhet har varit fast. Wright berättade för oss att efter den 20 November, när Himlen säker forskaren en lapp var på väg, han “fick ingen ytterligare reaktion från Himlen, så jag antar att de har ännu inte släpper lös.”
Himlen börjat rulla ut en fix förra året och patch processen beräknas vara klart i slutet av januari.
CNET: Även om du av sociala medier, dina vänner skulle kunna förstöra din integritet
“Med tanke på behovet för företag att flytta till HTTPS denna fråga fortfarande framhåller att även större företag är fortfarande släpar efter, liksom att dra bakom sig när det gäller att lösa dessa frågor,” Wright berättade ZDNet. “Förhoppningsvis genom att offentligt lyfta fram några av dessa frågor kan vi förhoppningsvis få insyn i denna typ av frågor och få företag att börja betala lämplig uppmärksamhet på dem.”
Tidigare och relaterade täckning
Drone utvecklare DJI säger anställd fraud kan orsaka $150 miljoner i förlust
Islands Bitcoin bandit dömts för att ha stulit gruv-riggar
Trio skickas bakom galler över olagliga läkemedel, smärtstillande avslut i den Mörka Webben
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter