По иронии мобильное приложение, разработанное специально для предстоящей хакерской конференции Black Hat, оказалось совершенно небезопасным для пользователя. Разработчики уже успели отключить функции, которые позволяли потенциальным злоумышленникам заходить в приложение и публиковать сообщения от чужого имени, а также незаметно читать чужую переписку.

О проблеме сообщили ИБ-специалисты компании Lookout; они обнаружили ошибку в реализации метода регистрации и сброса пароля. Оказалось, создание новых аккаунтов в приложении не предполагало верификацию по email, а при сбросе паролей не обновлялись токены авторизации.

По словам экспертов Lookout, из-за проблемы с токенами аутентификации высока вероятность стать жертвой шпионажа и даже рисковать физической безопасностью: потенциальный злоумышленник может отследить местоположение жертвы через метки в личных сообщениях.

Организаторы конференции — компания UBM решила от греха подальше просто отключить небезопасные функции, в том числе мессенджер и обновления ленты активностей. Пользователям не придется обновлять приложение вручную — всем загрузившим его участникам придет push-апдейт до начала конференции.

Категории: Уязвимости, Хакеры