Mohamed Ramadan członek grupy Attack-Secure odkrył poważną lukę w smartfonie iPhone. Problem dotyczy programu Etsy. Dzięki tej aplikacji możemy przeglądać oraz dokonywać zakupu w sklepie internetowym Etsy, który powstał w 2005r. jako mały projekt, a dzisiaj jest cenionym serwisem transakcyjnym wartym miliony dolarów. Oferta firmy jest ściśle związana z ręcznymi wyrobami takimi jak biżuteria, czy wyposażenie domu.
Niebezpieczna Aplikacja dla iPhona.
Każdy napastnik działający w tej samej sieci, może bez większych problemów przechwycić pakiety wychodzące z softwaru zainstalowanym na telefonie. Dotyczy to również hasła użytkownika. Program w żaden sposób nie reaguje na zagrożenie, nie wyświetlając nawet ostrzeżenia. Podobny problem został kilka dni temu odkryty w popularnej aplikacji Instagram.
Jak doszło do odkrycia zagrożenia? – Czyli polowanie na luki.
Ponieważ Etsy przyłączyło się do programu ochrony o nazwie „Bug Bounty”, więc najpierw Mohamed próbował znaleźć lukę na stronie Etsy, jak się później okazało – oprogramowanie strony jest bardzo dobrze chronione dlatego też odkrywaca luki postanowił przenieść się na aplikację mobilną w nadziei, że tam odkryje błędy. Sam program Bug Bounty nagradza odkrywców luk, o ile Ci przekażą takie informację osobom odpowiedzialnym za bezpieczeństwo danego projektu, w tym wypadku sklepu internetowego.
Mohamed pobrał najnowszą wersję aplikacji 2.2. na swój telefon iPhone 4S z oprogramowaniem iOS 6 nie ograniczając się tylko do smartfona, postanowił sprawdzić swoje siły również na iPadzie. Następnie wyłączył zaporę firewall w sieci i ustawił konfigurację proxy na tryb manualny, nasłuchując ruchu na porcie 8080 w trybie niewidocznym.
Ostateczne potwierdzenie luki w aplikacji sklepu Etsy dla iPhona.
Dzięki nasłuchowi udało mu się zalogować na swoim koncie, z użyciem danych przesłanych jako zwykły plik tekstowy. Mohamed już zgłosił problem do Etsy Security Team, co zostało oficjalnie potwierdzone przez pracowników firmy. Ponieważ błąd został uznany jego odkrywca otrzymał nagrodę w wysokości 750 $.
źródło.THN