Το Uber επιδιορθώνει σφάλματα που έχουν εκθέσει τα μυστικά της εφαρμογής τρίτου μέρους

Το Uber επιδιορθώνει σφάλματα που έχουν εκθέσει τα μυστικά της εφαρμογής τρίτου μέρους


Η Uber έχει διορθώσει ένα σφάλμα που επέτρεψε την πρόσβαση στα μυστικά μάρκες προγραμματιστών οποιασδήποτε εφαρμογής που ενσωματώθηκε στην υπηρεσία κοινής χρήσης βημάτων, σύμφωνα με τους ερευνητές της ασφάλειας που ανακάλυψαν το ελάττωμα

στο post οι Anand Prakash και Manisha Sangwan εξήγησαν ότι ένα ευάλωτο σημείο στην ανάπτυξη των συστημάτων back-end της Uber – από τότε που ήταν κλειδωμένο – έσπαζε λάθος μυστικά πελατών και μάρκες διακομιστών για εφαρμογές εξουσιοδοτημένες από τον ιδιοκτήτη του λογαριασμού του Uber

] Τα μυστικά πελατών και διακομιστές θεωρούνται πολύ ευαίσθητα κομμάτια πληροφοριών για προγραμματιστές, καθώς επιτρέπουν στις εφαρμογές να επικοινωνούν με τους διακομιστές της Uber. Από την πλευρά του, ο Uber προειδοποιεί τους προγραμματιστές ότι ποτέ δεν μοιράζονται τα κλειδιά με κανέναν

Ο Prakash, ιδρυτής της AppSecure που εδρεύει στο Bangalore, δήλωσε στο TechCrunch ότι το σφάλμα ήταν πολύ εύκολο να εκμεταλλευτεί και θα μπορούσε να επιτρέψει σε έναν εισβολέα να απόκτηση αποδείξεων ταξιδίου και τιμολογίων . Ο Uber πήρε ένα μήνα για να διορθώσει το σφάλμα, σύμφωνα με το χρονοδιάγραμμα της αποκάλυψης, και θεωρήθηκε ότι θα μπορούσε να τον δώσει. αρκετά σοβαρά για να ειδοποιήσουν τους προγραμματιστές την προειδοποίηση της προηγούμενης εβδομάδας για την πιθανή έκθεση.

"Αυτή τη στιγμή, δεν έχουμε καμία ένδειξη ότι το θέμα χρησιμοποιήθηκε, αλλά προτείνουμε να επανεξετάσουμε τις πρακτικές της αίτησής σας από μια αφθονία προσοχής", δήλωσε ο Uber . "Μειώσαμε το ζήτημα περιορίζοντας τις πληροφορίες που επιστρέφονται στο όνομα και την ταυτότητα των εγκεκριμένων εφαρμογών."

Η Uber δεν απάντησε σε αίτημα για σχολιασμό. Αν η αλλαγή αυτή γίνει, θα ενημερωθεί

Ο Πρακάς καταβλήθηκε 5.000 δολάρια για το του Uber για την αναφορά του σφάλματος και σήμερα κατατάσσεται στο οι κορυφαίοι πέντε υποψήφιοι Bounty Bug

Ο ερευνητής της ασφάλειας δεν είναι ξένος στη γενναιότητα των bugs του Uber. Πριν από δύο χρόνια, βρήκε και εκμεταλλεύτηκε με επιτυχία ένα σφάλμα που του επέτρεψε να λάβει δωρεάν ταξίδια και στις ΗΠΑ και στην πατρίδα του στην Ινδία

>Μεταφρασμένο από την Google <
Source link

Αφήστε ένα σχόλιο

Αυτός ο ιστότοπος χρησιμοποιεί το Akismet για να μειώσει τα ανεπιθύμητα σχόλια. Μάθετε πώς υφίστανται επεξεργασία τα δεδομένα των σχολίων σας.