RSA Conference: software para crachá permite invasão por senha
É muita ingenuidade acreditar que uma conferência de segurança de informações não seja do interesse das agências de Inteligência e espionagem de todo o mundo.
Mais ainda, acreditar que empresas norte-americanas, submetidas todas às mesmas leis regionais, não sejam obrigadas a fornecer detalhes ou acessos que possam, de alguma forma, serem colocadas unilateralmente pelo Governo como "de interesse à Segurança Nacional", obrigando-as a, no mínimo, fornecer acessos privilegiados à CIA, NSA, FBI e/ou qualquer de seus componentes.
Portanto, não vejo como uma coincidência um aplicativo utilizado para emissão de crachás e estatística de visitas em stands , baixado na Google Play, tenha seu "fabricante" não-identificado e possua uma poderosa backdoor criada para acesso irrestrito. Discordo da opinião dos pesquisadores, acreditando que seja uma "senha de recuperação" - acho que na melhor das hipóteses o aplicativo foi vulnerabilizado oficialmente e re-colocado na loja virtual.
Não é muito conveniente e peculiar todo este contexto?
Pesquisadores da empresa de segurança Bluebox Security descobriram que o aplicativo de digitalização do crachá fornecido pelos organizadores da RSA 2016 Conference para os fornecedores, é atormentado por uma falha de segurança.
Na RSA 2016 Conference, que se realiza esta semana em San Francisco, muitos vendedores foram supridos com smartphones Samsung Galaxy S4, que executam um aplicativo para Android que permite às empresas manter o controle de visitantes da cabine, digitalizando seus crachás. Os dispositivos de digitalização rodam no que é conhecido como "modo quiosque", que significa que não podem ser usados genericamente, exceto escaneamento de crachás, até que o administrador do aplicativo libere-o usando uma senha.
Pesquisadores da Bluebox baixaram uma cópia do aplicativo da loja Google Play e, depois de analisar o seu código, descobriram que este mecanismo de segurança pode ser ignorado porque os desenvolvedores incorporaram uma senha-padrão no código do aplicativo (hardcoded password) em texto simples e aberto (ASCII).
"Quando usamos esta senha fomos capazes de obter acesso às configurações do aplicativo de quiosque. Este, por sua vez, levou-nos a obter acesso às configurações do sistema do dispositivo, que então nos permitiram colocar o dispositivo no "modo de desenvolvedor" para obter acesso completo ao telefone," afirmaram os pesquisadores.
"Isso é preocupante porque se nós podemos fazer isso, um atacante pode também fazê-lo em modo ROOT (o mais alto privilégio), retirando todos os dados dele ou instalando malware para roubar ainda mais dados. Nós especulamos que o código padrão embutido no aplicativo está ali como um mecanismo para que o dispositivo possa ainda ser gerido mesmo quando o código de acesso personalizado do administrador é perdido. No entanto, é uma má prática de desenvolvimento incorporar senhas em código enviado de um aplicativo, especialmente não-criptografadas e não-ofuscado ", peritos observaram.
A Bluebox disse o aplicativo de digitalização emblema RSA Conference foi desenvolvido por um terceiro não identificado.
Esta não é a primeira vez que especialistas descobriram vulnerabilidades em aplicações móveis na Conferência RSA. Em 2014, pesquisadores da IOActive relataram ter descoberto meia dúzia de falhas no aplicativo RSA Conference Android , incluindo questões relacionadas à ataques man-in-the-middle .
