Convide是美国白宫工作人员据报道的一个消息传递应用程序,显然有几个安全漏洞,使自欺欺人更容易。
安全咨询Ioactive发现了信任的漏洞,这将自己促进为提供“军用级”端到端加密的应用程序。
但尽管其营销,但该应用程序在周三帖子中表示,该应用程序仍然具有保护用户帐户信息的辉煌问题。
咨询咨询说明它可以通过利用应用程序管理系统中的漏洞来访问7,000个信任用户的记录。部分问题驻留使用信徒的API,可用于揭示用户的电话号码和电子邮件地址的数据。
遗漏尤其有问题,鉴于旨在旨在促进隐私。据报道,共和国官员和白宫工作人员由于能够在被读取后删除的“自我毁坏”消息而采用该应用程序。
但是,Ioactive发现的漏洞表明消息传递应用程序不使用最佳安全性实践。
例如,应用程序允许用户选择易于猜测的密码。它还未能停止对用户帐户的“蛮力”攻击,这可能涉及通过试验和错误猜测用户密码。
ioactive添加了从应用程序发送的数据并不总是安全地完成。使用有效的SSL(安全套接字层)服务器证书来忽略该软件的通知系统以通过Internet进行通信。这可能将应用程序暴露于中间人攻击,并允许黑客窃听互联网流量。
此外,使用系统省略的应用程序省略以验证加密的消息,这意味着信任本身可以篡改在传输中发送的任何消息。
信守已经修补了问题。周三,该公司表示:“不仅解决了这些问题,但我们也没有检测到任何其他方都被利用。”
但这不是第一次信任对该应用程序的安全性面临担忧。上个月,记者注意到信心应用程序允许他们查找白宫工作人员的电话号码,包括新闻秘书肖恩皮尔。
在电子邮件中,Confide表示,其安全团队始终监控其保护用户的系统。
“由于出现问题,我们仍然致力于快速有效地解决它们,正如我们在这一切和各种情况下所做的那样,”它说。
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。