Android应用MES用户密码泄漏

释放双眼,带上耳机,听听看~!
Android应用允许企业用户连接到自己的微软Exchange服务器安装用户凭证,这可以很容易地破解明文版本。微软Exchange服务器是由微软开发的电子邮件和日历服务器只能在Windows上运行的服务器。公司将其部署到运行自己的私人电子邮件服务器,但产品也可以运行通过Office365

Android应用允许企业用户连接到自己的微软Exchange服务器安装用户凭证,这可以很容易地破解明文版本。

1

微软Exchange服务器是由微软开发的电子邮件和日历服务器只能在Windows上运行的服务器。 公司将其部署到运行自己的私人电子邮件服务器,但产品也可以运行通过Office 365提供的本地化版本。

“安卓应用程序用户泄露”

公司员工要连接到公司的Microsoft Exchange服务器从他们的移动设备可以使用第三方应用程序调用 。

从Rapid7安全研究人员已经发现,当应用程序使用SSL / TLS加密通信Exchange服务器从用户的智能手机,这个程序不验证SSL / TLS的来源接收证书。

源程序不检查证书

这种缺乏验证意味着应用程序受到MitM(中间人)攻击,尽管使用强大的加密。

攻击者在同一无线网络可以截获流量,尽管被加密。

Rapid7研究人员说应用程序连接到用户的Microsoft Exchange服务器安装,它还进行身份验证。 这些细节发送的HTTPS请求,攻击者截获并可以解密,因为他为受害者提供一个假的SSL / TLS证书。

凭证可以扭转明文形式

凭证使用Base64编码传输,很容易逆转,揭示了员工的实际的凭证。

尽管需要受害者和攻击者在同一网络中,一个可信的和可能的攻击场景当用户的手机wi – fi热点,隐藏在一个地方。 这种方式,攻击者可以自由移动来搜集连接着应用程序。

Rapid7通知制造商,跟踪cve – 2016 – 6533,10月13日,在版本3.1.0 9应用程序。

Nine app exposing user credentials as Base64 strings

程序将用户凭证作为Base64字符串

 

给TA买糖
共{{data.count}}人
人已赞赏
HackerNews

全世界最抱歉的黑客黑全校电脑向女生表白

2016-10-15 2:38:45

HackerNews

(视频)国际黑客组织匿名者曝光一起强奸案

2016-10-15 7:59:31

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索