Δύο Έλληνες ερευνητές ο Δημήτρης Χατζηδημήτρης (από Κω) και ο Αναστάσης Βασιλειάδης κατάφεραν να εντοπίσουν ένα κενό ασφαλείας στην Android εφαρμογή του Διεθνή Αερολιμένα Αθηνών,
κάτι που τους επέτρεψε να κατεβάσουν και να παρακάμψουν την ασφάλεια Αντί-VM και Αντί Debug της εφαρμογής, με αποτέλεσμα τον εντοπισμό ενός μυστικού κλειδιού (Secret Key) στον πηγαίο κώδικα.
“Μετά από αυτό δεν προχωρήσαμε παρακάτω σε μια ενδεχόμενη πρόσβαση στην συγκεκριμένη υπηρεσία που χρησιμοποιούσε το μυστικό κλειδί (Secret Key), εφόσον είχαμε ήδη επιβεβαιώσει την αδυναμία στην ασφάλεια της Android εφαρμογής.”
Παραθέτουμε τα στοιχεία της εφαρμογής που εντοπίστηκε το κενό ασφαλείας:
Platform: Android
App Name: ATH Airport
Package Name: gr.aia.athairport
File Name: ATH Airport_2.7.1_apkcombo.com.apk
Main Activity: gr.aia.athairport.AIASplashActivity
Size: 9.02MB
Target SDK: 28
Min SDK: 19
Android Version Name: 2.7.1
Android Version Code: 99
SHA256: 8b5d9374f2dc1e8e86ba21dbc8aba1b8b4091b982796eb68b027bba78b6a4063
Οι πληροφορίες παραμένουν στη διάθεση των άμεσα ενδιαφερομένων, από τους ίδιους τους ερευνητές αλλά και από το iguru.gr.
Η ενημέρωση για ευπάθειες που ανακαλύπτονται σε οργανισμούς, θεωρείται άκρως απαραίτητη (ειδικά όταν υπάρχουν σε ιστοσελίδες υψηλής επισκεψιμότητας και εμπεριέχουν ευαίσθητα δεδομένα χρηστών), και για εμάς στο iGuRu.gr αποτελούν άμεση προτεραιότητα.
Ευελπιστούμε ότι με αυτό τον τρόπο συμβάλουμε για ένα πιο ασφαλές διαδίκτυο.
iguru.gr
