SAP已经修复了一个移动医疗应用程序的两个漏洞,其中一个漏洞可能允许攻击者上传虚假的患者数据。
总部位于加州帕洛阿尔托的ERPScan公司专门研究企业应用程序安全,该公司的首席技术官亚历山大•波利亚科夫(Alexander Polyakov)表示,这些问题是在SAP的电子医疗记录(EMR) Unwired中发现的,该公司存储了有关患者的临床数据,包括实验室结果和图像。
ERPScan的研究人员发现了一个本地SQL注入漏洞,该漏洞可能允许移动设备上的其他应用程序访问EMR Unwired数据库。这是不应该发生的,因为移动应用程序通常是沙箱,以防止其他应用程序访问它们的数据。
Polyakov在电话采访中说:“例如,你可以将恶意软件上传到手机,而这个恶意软件将能够访问这个医疗应用程序的嵌入式数据库。”
他们还发现了EMR Unwired的另一个问题,根据ERPScan,攻击者可以篡改配置文件,然后更改存储在服务器上的医疗记录咨询.
Polyakov说:“你可以发送关于医疗记录的虚假信息,所以你可以想象在那之后可以做什么。”“你可以说,‘这个病人没有病’。”
Polyakov说SAP在一个月前解决了这两个问题。
这家德国软件巨头还修复了大约一周前ERPScan研究人员发现的另一个漏洞,该漏洞影响了它的移动设备管理软件,这是一个移动客户端,允许访问该公司的其他商业应用程序。
问题是服务器端缓冲区溢出,可能导致拒绝服务攻击,根据咨询.Polyakov说,这可能看起来不是很严重,但服务器软件接受来自该领域的供应链报告,也被高管用来获取关键业务数据。
Polyakov说:“如果你能让移动服务器至少关闭一个小时,公司的供应链就会停止,所以你可以想象这对一家公司来说有多糟糕。”
他说,该漏洞不能远程利用,因此攻击者需要访问SAP Mobile Device Management客户端。但他补充说,这可能会从公司内部,也可能从第三方获得。