据报道,美国白宫工作人员使用的一项消息传递应用程序显然有几个安全漏洞,使其更容易入侵。
安全咨询公司IOACTIVE发现了Condide中的漏洞,该漏洞将自身推广为提供“军事级”端到端加密的应用程序。
但是,尽管该应用程序的营销仍包含了确保用户帐户信息的明显问题。邮政。
该咨询公司注意到,它可以通过利用应用帐户管理系统中的漏洞来访问7,000个通征用户的记录。该问题的一部分与Conconide的API一起存在,该API可用于揭示用户电话号码和电子邮件地址的数据。
考虑到倾向旨在促进隐私,漏洞尤其有问题。共和党官员和白宫工作人员据说采用该应用程序是因为其发送“自我毁灭”消息的能力,这些消息被阅读后删除。
但是,IOACTIVE发现的漏洞表明,消息传递应用程序没有使用最佳安全实践。
例如,该应用程序允许用户选择易于猜测的密码。它也未能停止对用户帐户的“蛮力”攻击,这可能涉及通过反复试验猜测用户密码。
添加了从应用程序发送的数据,并不总是安全地完成。该软件的通知系统使用有效的SSL(安全套接字层)服务器证书忽略了通过Internet通信。可以将应用程序暴露于中间攻击并让黑客窃听互联网流量。
此外,使用系统省略了该应用程序来身份验证加密消息,这意味着自身可以篡改发送到传输中的任何消息。
Conconide已经修补了问题。该公司周三表示:“不仅解决了这些问题,而且我们也没有发现它们被任何其他一方剥削。”
但这并不是第一次对应用程序的安全感到关注。上个月,记者注意到,Confindide应用程序允许他们抬头白宫工作人员的电话号码,包括新闻秘书肖恩·斯派塞(Sean Spicer)。
在一封电子邮件中,Confide表示,其安全团队一直在监视其系统以保护用户。
它说:“随着问题的出现,我们仍然致力于快速有效地解决它们,就像我们在此方面所做的那样。”