健身软件平台漏洞使黑客可以抹掉健身数据 涉及全球5000多个健身房

中科天齐软件源代码安全检测中心

共 1772字,需浏览 4分钟

 ·

2021-08-17 10:26

安全研究人员在wdify健身平台上发现了漏洞,攻击者可以查看和修改用户在全球5000多家使用该解决方案的健身房中的任何一家的锻炼情况。

用户数据(如个人、锻炼、支付)目前可能面临风险,因为Wodify还没有确认推出补丁,尽管有足够的时间来解决安全问题。

Wodify是全球5000多家健身房使用的一体化平台。除了提供会员管理选项,它还可以帮助客户实现他们的目标,更好地跟踪他们的表现。

该平台面向教练和运动员,并具有自动计费系统、课程安排、允许创建定制的锻炼和实时跟踪健身数据(例如心率)。


更改用户锻炼数据


在一份报告中,网络安全公司研究人员披露了Wodify平台中的一组漏洞,这些漏洞不仅会影响用户的锻炼和个人信息,还可能影响健身房的财务状况。

Bishop Fox高级安全顾问Dardan Prebreza表示,利用这些漏洞,可以从所有使用该平台的健身房中枚举和修改条目。尽管需要进行身份验证,但这些问题有着严重的影响。

“在修改数据时,攻击者可能会插入恶意存储的JavaScript负载,从而导致XSS。这可能会被用来劫持用户的会话、窃取哈希密码或通过敏感信息披露漏洞窃取用户的 JWT” 。

针对软件中的安全漏洞,超6成的安全漏洞与代码有关,而在软件开发阶段通过静态代码安全检测技术可以帮助开发人员减少30%-70%的安全漏洞。尤其如跨站脚本(XXS)、注入漏洞等,是可以通过静态代码检测及时发现。

研究人员表示,出于经济动机的攻击者通过破坏健身房的管理账户,可以编辑支付设置,从健身房会员那里偷钱。

其中一个漏洞是授权控制不足,这可能会在Wodify平台中枚举用户并更改他们的数据利用该错误需要身份验证。在获得Wodify客户同意使用其帐户后,研究人员成功测试了这个漏洞。

BsStursazm.png

这种访问允许插入恶意代码,通过跨站点脚本 (XSS) 攻击影响平台上的其他用户,“包括实例或健身房管理员”。

通过在目标用户的锻炼评论中添加恶意 JavaScript 负载,研究人员触发XSS漏洞,该漏洞可能允许攻击者更改所有Wodify用户的锻炼数据,包括结果。

GSJ5Ngf6ko.png

Prebreza告诉记者,通过这种访问,黑客还可以擦除用户的整个健身历史,这会对运动员的训练产生严重的负面影响。

进一步调查发现,Wodify 应用程序中存在四个存储的XSS漏洞。普通用户的权限足以在会触发XSS错误的锻炼结果中植入恶意JavaScript。

用户加载该页面将触发导致攻击者的代码运行,这可能使他们能够管理目标健身房的应用程序。

“如果攻击者以这种方式获得对特定健身房的管理访问权限,他们将能够更改付款设置,以及访问和更新其他用户的个人信息”。

应用程序中的另一个漏洞暴露了敏感的用户信息,并允许借助 XSS 漏洞劫持会话。

补丁未确认


Prebreza在半年前首次将他的发现通知了Wodify,并在4月份被告知这些错误将在90 天内修复。

研究人员告诉记者,公司花了很长时间才承认存在漏洞。尽管他们说会发布新的打过补丁的版本,但从5月推迟到6月之后又推迟到8月。Bishop Fox 表示,他们自7月13日以来就没有收到供应商的消息,也不知道是否向客户发布了补丁。

随着应用软件的大规模使用及广泛渗透,一些机构也积累了海量客户行为数据及交易数据,但因其信息系统管理水平和应对网络攻击能力未能同步跟上,其数据安全保卫能力存在不足,存在数据被集中泄露的风险。数据显示,超过六成的安全漏洞与代码有关,而在编码阶段利用静态代码分析技术可以帮助用户减少30-70%的安全漏洞。随着网络攻击的激增,企业在软件开发时不断检测修复代码缺陷,是减少数据丢失的重要手段。Wukong(悟空)静态代码检测工具,从源码开始,为您的软件安全保驾护航!


参读链接:

https://www.woocoom.com/b021.html?id=b7a42cbd03764987ad955cc3744e7df7

https://www.bleepingcomputer.com/news/security/bugs-in-gym-management-software-let-hackers-wipe-fitness-history/

浏览 63
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报