Ευπάθειες σε πλατφόρμα διαχείρισης εφαρμογών γυμναστικής μπορούν να επιτρέψουν σε hackers να παραβιάσουν λογαριασμούς χρηστών σε δεκάδες τέτοιες εφαρμογές, ακόμα και αν ο μηχανισμός ελέγχου ταυτότητας δύο παραγόντων (2FA) είναι ενεργοποιημένος.
Η πλατφόρμα διαχείρισης των εφαρμογών γυμναστικής είναι η Fizikal, με έδρα το Ισραήλ και επιτρέπει στους πελάτες να χειρίζονται τη συνδρομή σε εφαρμογές και γυμναστήρια.
Πολλές ευπάθειες που επηρεάζουν την πλατφόρμα Fizikal θα μπορούσαν να χρησιμοποιηθούν για να παρακάμψουν τους ελέγχους ασφαλείας, να απαριθμήσουν τους χρήστες, να κάνουν bruteforce επιθέσεις και να αποκτήσουν πρόσβαση στον λογαριασμό ενός χρήστη.
Brute-force επιθέσεις
Ο Sahar Avitan, σύμβουλος της cybersecurity εταιρείας Security Joes, με έδρα το Ισραήλ, ανακάλυψε ότι περίπου 80 εφαρμογές βασίζονται στο API της Fizikal για να εξασφαλίσουν ευκολότερη πρόσβαση στα sports κλαμπ και τις διαθέσιμες παροχές.
Υπάρχουν περίπου 70 εφαρμογές Fizikal στην κατηγορία “Υγεία και fitness” του Google Play Store, πολλές από τις οποίες προστέθηκαν τις τελευταίες ημέρες. Ορισμένες από τις παλαιότερες εφαρμογές έχουν πάνω από 5.000 λήψεις και όλες μαζί έχουν εγκατασταθεί σε τουλάχιστον 240.000 συσκευές.
Ο Avitan άρχισε να αναλύει την πλατφόρμα διαχείρισης εφαρμογών γυμναστικής μετά την επαναφορά του κωδικού πρόσβασης για τον λογαριασμό του EZ Shape, μιας εφαρμογής γυμναστικής που χρησιμοποιούσε. Τότε παρατήρησε ότι έλαβε έναν αδύναμο κωδικό 4 χαρακτήρων.
Ο ερευνητής παρατήρησε ότι η διαδικασία επαναφοράς κωδικού πρόσβασης είχε διαφορετικά αποτελέσματα για αριθμούς τηλεφώνου που υπάρχουν στη βάση δεδομένων σε σχέση με αυτούς που δεν υπάρχουν.
Αυτό του επέτρεψε να κατανοήσει καλύτερα ολόκληρο τον μηχανισμό, που επιτρέπει την παράκαμψη ελέγχων ασφαλείας και την απαρίθμηση χρηστών. Αυτές οι πληροφορίες του επέτρεψαν να μάθει τους αριθμούς τηλεφώνου που είχαν ορίσει οι χρήστες για να λαμβάνουν τον κωδικό πρόσβασης OTP μέσω SMS, όταν επιβεβαιώνουν την επαναφορά.
Επιπλέον, ένα άλλο σφάλμα στην πλατφόρμα διαχείρισης εφαρμογών γυμναστικής κατέστησε δυνατή τη brute force επίθεση αριθμών OTP (η διαδικασία ολοκληρώνεται σε περίπου ένα λεπτό) και την αποστολή τους στο Fizikal API, προτού ο νόμιμος χρήστης λάβει την ειδοποίηση.
Σύμφωνα με τη Security Joes, η διαδικασία επαλήθευσης OTP δεν προστατευόταν από κάποιον anti-automation μηχανισμό ή captcha που θα εμπόδιζε τις απόπειρες brute-force επίθεσης.
Ο Avitan έστειλε τον κωδικό OTP στον server της πλατφόρμας διαχείρισης εφαρμογών γυμναστικής και έλαβε ένα μοναδικό TokenID, απαραίτητο για τη δημιουργία ενός νέου κωδικού πρόσβασης. Έπειτα, έστειλε τον κωδικό στον server σε HTTP headers μαζί με έναν νέο κωδικό πρόσβασης.
Η παραβίαση ενός λογαριασμού σε κάποιες από τις εφαρμογές γυμναστικής της Fizikal όχι μόνο επιτρέπει σε έναν εισβολέα να κλειδώσει τον νόμιμο χρήστη ή να ακυρώσει τη συνδρομή του, αλλά του παραχωρεί πρόσβαση σε προσωπικές πληροφορίες χρηστών:
- Αριθμό τηλεφώνου
- Πλήρες όνομα
- Ημερομηνία γέννησης
- Διεύθυνση ηλεκτρονικού ταχυδρομείου
- Ταχυδρομική διεύθυνση
- Αριθμό ταυτότητας
Ο Ido Naor, ιδρυτής και διευθύνων σύμβουλος της Security Joes, είπε ότι ένας κακόβουλος hacker θα μπορούσε να αξιοποιήσει αυτές τις ευπάθειες για να αποκτήσει πληροφορίες άλλων χρηστών.
Σύμφωνα με τους ερευνητές, η Fizikal και το CERT στο Ισραήλ έλαβαν μια πλήρη έκθεση σχετικά με τα ευρήματα και ενήργησαν γρήγορα για την αντιμετώπιση των ζητημάτων.