В приложении конференции Black Hat обнаружены баги

По иронии мобильное приложение, разработанное специально для предстоящей хакерской конференции Black Hat, оказалось совершенно небезопасным для пользователя. Разработчики уже успели отключить функции, которые позволяли потенциальным злоумышленникам заходить в приложение и публиковать сообщения от чужого имени, а также незаметно читать чужую переписку.

О проблеме сообщили ИБ-специалисты компании Lookout; они обнаружили ошибку в реализации метода регистрации и сброса пароля. Оказалось, создание новых аккаунтов в приложении не предполагало верификацию по email, а при сбросе паролей не обновлялись токены авторизации.

По словам экспертов Lookout, из-за проблемы с токенами аутентификации высока вероятность стать жертвой шпионажа и даже рисковать физической безопасностью: потенциальный злоумышленник может отследить местоположение жертвы через метки в личных сообщениях.

Организаторы конференции — компания UBM решила от греха подальше просто отключить небезопасные функции, в том числе мессенджер и обновления ленты активностей. Пользователям не придется обновлять приложение вручную — всем загрузившим его участникам придет push-апдейт до начала конференции.