Falhas de segurança reveladas na popular estrutura de conversação e vídeo QuickBlox podem expor dados sensíveis de milhões de pessoas

Falhas de segurança reveladas na popular estrutura de conversação e vídeo QuickBlox podem expor dados sensíveis de milhões de pessoas

- A QuickBlox trabalhou em estreita colaboração com a Team82 e o CPR para resolver a nossa divulgação e corrigiu as vulnerabilidades através de um novo design de arquitetura segura e de uma nova API.

- O CPR e a Team82 divulgaram as descobertas à QuickBlox, que corrigiu as vulnerabilidades através de uma nova arquitetura e API mais seguras

A Check Point Research (CPR), equipa de investigação da Check Point Sofware, líder mundial de soluções de ciberegurança, em colaboração com a Claroty Team82, descobriu grandes vulnerabilidades de segurança na popular plataforma QuickBlox, utilizada para telemedicina, finanças e dispositivos IoT inteligentes. Se forem exploradas, as vulnerabilidades podem permitir que os agentes de ameaças acedam às bases de dados dos utilizadores das aplicações e exponham dados sensíveis de milhões de pessoas.

Introdução e motivação da investigação

Os serviços de conversação e vídeo em tempo real disponíveis em muitas aplicações de telemedicina, finanças e dispositivos IoT inteligentes utilizados por milhões de pessoas baseiam-se na popular estrutura QuickBlox.

O QuickBlox é uma plataforma de conversação e videochamada para o desenvolvimento de aplicações iOS, Android e Web. Fornece uma API para autenticação, gestão de utilizadores, conversação, mensagens, gestão de ficheiros, etc., e um SDK fácil de utilizar que permite funcionalidades de voz e vídeo. Por conseguinte, não é de surpreender que tenhamos encontrado o QuickBlox pela primeira vez enquanto pesquisávamos uma aplicação móvel de intercomunicação específica que dependesse dessa estrutura. Isto levou-nos a pesquisar a estrutura QuickBlox e as várias aplicações que a utilizam.

Uma investigação conjunta com a Claroty Team82

A Check Point Research (CPR), em colaboração com a Claroty Team82, realizou um projeto de investigação conjunto para analisar a segurança do QuickBlox SDK. Em conjunto, descobrimos algumas vulnerabilidades de segurança importantes na arquitetura da plataforma QuickBlox que, se exploradas, poderiam permitir que os agentes de ameaças acedessem a dezenas de milhares de bases de dados de utilizadores de aplicações e colocassem em risco milhões de registos de utilizadores.

Neste relatório, demonstraremos explorações contra várias aplicações que executam o QuickBlox SDK, especificamente contra aplicações de intercomunicação inteligente e de telemedicina. Ao encadear as vulnerabilidades que identificámos com outras falhas nas aplicações visadas, encontrámos formas únicas de efetuar ataques que nos permitiram abrir portas remotamente através de aplicações de intercomunicadores e também divulgar informações sensíveis sobre pacientes a partir de uma importante plataforma de telemedicina.

Vulnerabilidades de segurança

Depois de analisar a arquitetura do QuickBlox, decidimos analisar a API do QuickBlox e examinar o que podemos aceder utilizando informações "públicas": chaves secretas de aplicações. Descobrimos algumas vulnerabilidades críticas na API do QuickBlox que podem permitir que os atacantes divulguem a base de dados de utilizadores de muitas aplicações populares.

Exploração da plataforma IoT da Intercom – Rozcom

Enquanto examinávamos a Rozcom, um fornecedor sediado em Israel que vende intercomunicadores para casos de utilização residencial e comercial, incluindo intercomunicadores com vídeo, encontrámos várias vulnerabilidades na arquitetura da Rozcom que nos permitiram descarregar todas as bases de dados de utilizadores e efetuar ataques completos de tomada de controlo de contas. Como resultado, conseguimos assumir o controlo de todos os dispositivos de intercomunicação da Rozcom, o que nos deu controlo total e nos permitiu aceder às câmaras e microfones dos dispositivos, fazer escutas no seu feed, abrir portas geridas pelos dispositivos e muito mais.

Fuga da base de dados dos utilizadores e do historial dos registos médicos da plataforma de telemedicina

A telemedicina é uma plataforma para serviços e informações relacionados com a saúde através de tecnologias eletrónicas de informação e de telecomunicações. Permite o contacto à distância entre os pacientes e os médicos, possibilitando inúmeras ações como: cuidados, conselhos, lembretes, educação, intervenção, monitorização e admissões à distância. Combinando as vulnerabilidades da QuickBlox com as vulnerabilidades específicas da aplicação de telemedicina, conseguimos aceder a toda a base de dados de utilizadores da [REDACTED], bem como aos registos médicos e ao historial da aplicação.

Divulgação responsável

A Team82 e o CPR trabalharam em estreita colaboração com a QuickBlox para resolver todas as vulnerabilidades detetadas. Depois de reconhecer as descobertas, a QuickBlox comprometeu-se a aplicar correções através da conceção de uma nova arquitetura e API seguras e instou os seus clientes a migrarem para a versão mais recente. Gostaríamos de expressar a nossa gratidão e apreço pelo seu esforço.