Des chercheurs ont découvert que le service de chat populaire QuickBlox présentait de nombreuses failles de sécurité. L'exploitation des vulnérabilités du cadre de QuickBlox pourrait permettre à un adversaire d'accéder aux données des utilisateurs à partir des bases de données de l'application. QuickBlox a corrigé la faille avec la dernière version du micrologiciel, en demandant instamment aux utilisateurs de mettre à jour leurs systèmes au plus tôt.
Les vulnérabilités du cadre de QuickBlox mettent en danger les données des utilisateurs
Selon un récent rapport de Check Point Research, leurs chercheurs et l'équipe Claroty Team82 ont découvert de nombreuses vulnérabilités dans le cadre QuickBlox.
QuickBlox est un service de chat et de communication vidéo dédié aux appareils IoT comme la télémédecine, la finance et d'autres applications mobiles de ce type. Le service se targue d'avoir une clientèle considérable, servant des millions de clients. Cela signifie également que toute faille dans le service peut mettre en péril la sécurité de millions d'utilisateurs.
C'est ce que les chercheurs ont mis en évidence dans leur billet. Plus précisément, ils ont remarqué des jetons secrets et des mots de passe stockés dans l'appli et une conception non sécurisée de l'API QuickBlox. L'exploitation des vulnérabilités pourrait permettre à un adversaire d'effectuer diverses actions malveillantes.
Par exemple, les chercheurs ont analysé une application d'interphone basée en Israël, Rozcom. Ils ont ensuite exploité les vulnérabilités du framework QuickBlox pour prendre le contrôle des interphones ciblés, accéder aux caméras et aux microphones, mettre sur écoute le flux des appareils et gérer l'ouverture des portes.
De même, ils ont analysé un service de télémédecine populaire, qui présentait déjà quelques vulnérabilités. Par conséquent, en combinant les problèmes de l'application avec les failles de QuickBlox, les chercheurs ont pu accéder à la base de données des utilisateurs de l'application, y compris aux données personnelles des patients, à leurs antécédents médicaux, à l'historique des conversations avec les médecins et à leurs dossiers médicaux. En outre, les failles ont également permis d'usurper l'identité de médecins et de discuter avec des patients en temps réel sans déclencher d'alarme.
Dans leur post, les chercheurs ont également partagé les exploits de preuve de concept contre les applications utilisant l'API et le SDK de QuickBlox.
QuickBlox a corrigé les failles
Après avoir découvert les vulnérabilités, les chercheurs ont signalé le problème aux responsables de QuickBlox qui ont rapidement corrigé les failles. Check Point Research a confirmé dans son billet que les fournisseurs ont conçu une nouvelle API et une nouvelle architecture sécurisée pour le service.
Désormais, tous les fournisseurs de services qui utilisent le framework QuickBlox doivent mettre à jour leurs applications avec la dernière version de QuickBlox immédiatement pour recevoir les correctifs.
Fais-nous part de tes réflexions dans les commentaires.
