Android应用允许企业用户连接到自己的微软Exchange服务器安装用户凭证,这可以很容易地破解明文版本。
微软Exchange服务器是由微软开发的电子邮件和日历服务器只能在Windows上运行的服务器。 公司将其部署到运行自己的私人电子邮件服务器,但产品也可以运行通过Office 365提供的本地化版本。
“安卓应用程序用户泄露”
公司员工要连接到公司的Microsoft Exchange服务器从他们的移动设备可以使用第三方应用程序调用 。
从Rapid7安全研究人员已经发现,当应用程序使用SSL / TLS加密通信Exchange服务器从用户的智能手机,这个程序不验证SSL / TLS的来源接收证书。
源程序不检查证书
这种缺乏验证意味着应用程序受到MitM(中间人)攻击,尽管使用强大的加密。
攻击者在同一无线网络可以截获流量,尽管被加密。
Rapid7研究人员说应用程序连接到用户的Microsoft Exchange服务器安装,它还进行身份验证。 这些细节发送的HTTPS请求,攻击者截获并可以解密,因为他为受害者提供一个假的SSL / TLS证书。
凭证可以扭转明文形式
凭证使用Base64编码传输,很容易逆转,揭示了员工的实际的凭证。
尽管需要受害者和攻击者在同一网络中,一个可信的和可能的攻击场景当用户的手机wi – fi热点,隐藏在一个地方。 这种方式,攻击者可以自由移动来搜集连接着应用程序。
Rapid7通知制造商,跟踪cve – 2016 – 6533,10月13日,在版本3.1.0 9应用程序。