• No products in the cart.

  • LOGIN

Les vulnérabilités du framework QuickBlox pourraient exposer les données utilisateur


Certains articles de veille peuvent faire l'objet de traduction automatique.


Les chercheurs ont découvert que le service de chat populaire QuickBlox présentait de nombreuses failles de sécurité. L’exploitation des vulnérabilités du framework QuickBlox pourrait permettre à un adversaire d’accéder aux données des utilisateurs à partir des bases de données des applications. QuickBlox a corrigé la faille avec la dernière version du micrologiciel, exhortant les utilisateurs à mettre à jour leurs systèmes au plus tôt.

Vulnérabilités du framework QuickBlox Risques pour les données des utilisateurs

Selon un récent rapport de Check Point Research, leurs chercheurs et l’équipe Claroty Team82 ont découvert de nombreuses vulnérabilités dans le framework QuickBlox.

QuickBlox est un service de chat et de communication vidéo dédié aux appareils IoT tels que la télémédecine, la finance et d’autres applications mobiles de ce type. Le service bénéficie d’une clientèle considérable, desservant des millions de clients. Cela signifie également que toute vulnérabilité du service peut mettre en péril la sécurité de millions d’utilisateurs.

C’est ce que les chercheurs ont souligné dans leur article. Plus précisément, ils ont remarqué des jetons et des mots de passe secrets stockés dans l’application et une conception d’API QuickBlox non sécurisée. L’exploitation des vulnérabilités pourrait permettre à un adversaire d’effectuer diverses actions malveillantes.

Par exemple, les chercheurs ont analysé une application d’interphone basée en Israël, Rozcom. Ils ont ensuite exploité les vulnérabilités du framework QuickBlox pour prendre en charge les dispositifs d’interphonie cibles, accéder aux caméras et aux microphones, mettre sur écoute le flux des dispositifs et gérer les ouvertures de porte.

De même, ils ont analysé un service de télémédecine populaire, qui présentait déjà certaines vulnérabilités. Par conséquent, la combinaison des problèmes de l’application avec les failles de QuickBlox a permis aux chercheurs d’accéder à la base de données des utilisateurs de l’application, y compris les données personnelles des patients, les antécédents médicaux, l’historique des conversations avec les médecins et les dossiers médicaux. En outre, les failles permettaient également de se faire passer pour des médecins et de discuter avec des patients en temps réel sans déclencher d’alarme.

Dans leur article, les chercheurs ont également partagé les exploits de preuve de concept contre les applications exécutant l’API et le SDK QuickBlox.

QuickBlox a corrigé les défauts

Après avoir découvert les vulnérabilités, les chercheurs ont signalé le problème aux responsables de QuickBlox qui ont rapidement corrigé les failles. Check Point Research a confirmé dans son article que les fournisseurs avaient conçu une nouvelle API et une nouvelle architecture sécurisée pour le service.

Désormais, tous les fournisseurs de services utilisant le framework QuickBlox doivent immédiatement mettre à jour leurs applications avec la dernière version de QuickBlox pour recevoir les correctifs.

Faites-nous part de vos réflexions dans les commentaires.

Voir aussi :

juillet 17, 2023

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)