Los investigadores han descubierto que el popular servicio de chat QuickBlox tiene numerosas vulnerabilidades de seguridad. La explotación de las vulnerabilidades en el marco de QuickBlox podría permitir que un adversario acceda a los datos del usuario desde las bases de datos de la aplicación. QuickBlox reparó la falla con el firmware más reciente e instó a los usuarios a actualizar sus sistemas lo antes posible.
Vulnerabilidades del marco QuickBlox Riesgos para los datos del usuario
Según un informe reciente de Check Point Research, sus investigadores y Claroty Team82 descubrieron numerosas vulnerabilidades en el marco QuickBlox.
QuickBlox es un servicio de video chat y comunicación dedicado a dispositivos IoT como telemedicina, finanzas y otras aplicaciones móviles similares. El servicio disfruta de un gran número de seguidores y atiende a millones de clientes. También significa que cualquier vulnerabilidad en el servicio puede poner en riesgo la seguridad de millones de usuarios.
Esto es lo que los investigadores señalaron en su artículo. Específicamente, notaron tokens y contraseñas secretas almacenadas en la aplicación y un diseño de API QuickBlox inseguro. La explotación de las vulnerabilidades podría permitir que un adversario realice varias acciones maliciosas.
Por ejemplo, los investigadores analizaron una aplicación de intercomunicación con sede en Israel, Rozcom. Luego explotaron las vulnerabilidades en el marco de QuickBlox para hacerse cargo de los dispositivos de intercomunicación de destino, acceder a cámaras y micrófonos, alimentar dispositivos de escuchas telefónicas y administrar la apertura de puertas.
De igual forma, analizaron un popular servicio de telemedicina, que ya presentaba algunas vulnerabilidades. Por lo tanto, la combinación de los problemas de la aplicación con las fallas de QuickBlox permitió a los investigadores acceder a la base de datos de usuarios de la aplicación, incluidos los datos personales del paciente, el historial médico, el historial de conversaciones con los médicos y los registros médicos. Además, las fallas también permitieron hacerse pasar por médicos y chatear con pacientes en tiempo real sin activar una alarma.
En su artículo, los investigadores también compartieron los exploits de prueba de concepto contra aplicaciones que ejecutan la API y el SDK de QuickBlox.
QuickBlox solucionó los defectos
Después de descubrir las vulnerabilidades, los investigadores informaron el problema a los funcionarios de QuickBlox, quienes corrigieron rápidamente las fallas. Check Point Research confirmó en su artículo que los proveedores diseñaron una nueva API y una arquitectura segura para el servicio.
Ahora, todos los proveedores de servicios que utilizan el marco QuickBlox deben actualizar sus aplicaciones a la última versión de QuickBlox inmediatamente para recibir los parches.
Háganos saber sus pensamientos en los comentarios.
