این نقص ها هنگام بررسی یک برنامه تلفن همراه اینترکام از فروشنده اسرائیلی Rozcom، که بر اساس چارچوب QuickBlox است، کشف شد.
این مشکلات محققان را قادر میسازد تا همه پایگاههای اطلاعاتی کاربران را دانلود کنند، حسابها و همه دستگاههای ارتباط داخلی Rozcom را در اختیار بگیرند و به دوربینها و میکروفونهای دستگاه دسترسی کامل داشته باشند.
در یک تلاش مشترک تحقیقاتی، Check Point Research (CPR) و Claroty Team82 چندین نقص امنیتی را در چارچوب QuickBlox یافتند. QuickBlox یک سرویس چت و ویدیوی محبوب است که به طور گسترده در توسعه دستگاههای هوشمند IoT، امور مالی و وب پزشکی از راه دور و برنامههای موبایل iOS و Android استفاده میشود. در حین انجام تحقیقات خود، محققان Claroty Team82 و CPR چندین نقص امنیتی عمده را در معماری این فریم ورک کشف کردند.
به گفته محققان، در صورت سوء استفاده از این نقایص، عوامل تهدید می توانند به راحتی به پایگاه داده های کاربران برنامه های کاربردی بی شماری دسترسی داشته باشند و میلیون ها رکورد کاربر را در معرض خطر قرار گرفتن و بهره برداری قرار دهند.
در گزارش خود که در 12 ژوئیه 2023 منتشر شد، محققان توضیح دادند که امکان سوء استفاده از اینترکام هوشمند و برنامههای پزشکی از راه دور QuickBlox وجود دارد که به آنها اجازه میدهد از راه دور درها را از طریق برنامههای اینترکام باز کنند و دادههای بیمار را از یک پلت فرم اصلی پزشکی از راه دور افشا کنند.
این نقص ها هنگام بررسی یک برنامه تلفن همراه اینترکام از فروشنده اسرائیلی Rozcom، که بر اساس چارچوب QuickBlox ساخته شده است، کشف شد. این مشکلات محققان را قادر میسازد تا همه پایگاههای اطلاعاتی کاربران را دانلود کنند، حسابها و همه دستگاههای ارتباط داخلی Rozcom را در اختیار بگیرند و به دوربینها و میکروفونهای دستگاه دسترسی کامل داشته باشند. آنها همچنین قابلیت استراق سمع به خوراک آن، باز کردن درهایی را که دستگاهها مدیریت میکردند، و موارد دیگر را به دست آوردند.
سپس، محققان یک برنامه کاربردی پزشکی از راه دور را که با یکپارچه سازی QuickBlox SDK ایجاد شده بود، ارزیابی کردند. آنها نام برنامه را فاش نکردند اما توجه داشتند که این برنامه خدمات چت و ویدئو را برای بیماران ارائه می دهد تا بتوانند با پزشکان ارتباط برقرار کنند.
بر اساس تحقیقات فنی CPR، این برنامه خاص قبلاً دارای آسیبپذیریهایی بود و هنگامی که با نقصهای QuickBlox ترکیب میشد، برنامه کل پایگاه داده کاربر، از جمله سوابق پزشکی و تاریخچه پزشکی و چت را که برنامه ذخیره میکرد، فاش کرد. علاوه بر این، هر کسی میتواند جعل یک پزشک، اصلاح اطلاعات، یا ارتباط مستقیم با بیماران از طرف پزشک خود باشد.
این مشکلات محققان را قادر میسازد تا همه پایگاههای اطلاعاتی کاربران را دانلود کنند، حسابها و همه دستگاههای ارتباط داخلی Rozcom را در اختیار بگیرند و به دوربینها و میکروفونهای دستگاه دسترسی کامل داشته باشند.
در یک تلاش مشترک تحقیقاتی، Check Point Research (CPR) و Claroty Team82 چندین نقص امنیتی را در چارچوب QuickBlox یافتند. QuickBlox یک سرویس چت و ویدیوی محبوب است که به طور گسترده در توسعه دستگاههای هوشمند IoT، امور مالی و وب پزشکی از راه دور و برنامههای موبایل iOS و Android استفاده میشود. در حین انجام تحقیقات خود، محققان Claroty Team82 و CPR چندین نقص امنیتی عمده را در معماری این فریم ورک کشف کردند.
به گفته محققان، در صورت سوء استفاده از این نقایص، عوامل تهدید می توانند به راحتی به پایگاه داده های کاربران برنامه های کاربردی بی شماری دسترسی داشته باشند و میلیون ها رکورد کاربر را در معرض خطر قرار گرفتن و بهره برداری قرار دهند.
در گزارش خود که در 12 ژوئیه 2023 منتشر شد، محققان توضیح دادند که امکان سوء استفاده از اینترکام هوشمند و برنامههای پزشکی از راه دور QuickBlox وجود دارد که به آنها اجازه میدهد از راه دور درها را از طریق برنامههای اینترکام باز کنند و دادههای بیمار را از یک پلت فرم اصلی پزشکی از راه دور افشا کنند.
این نقص ها هنگام بررسی یک برنامه تلفن همراه اینترکام از فروشنده اسرائیلی Rozcom، که بر اساس چارچوب QuickBlox ساخته شده است، کشف شد. این مشکلات محققان را قادر میسازد تا همه پایگاههای اطلاعاتی کاربران را دانلود کنند، حسابها و همه دستگاههای ارتباط داخلی Rozcom را در اختیار بگیرند و به دوربینها و میکروفونهای دستگاه دسترسی کامل داشته باشند. آنها همچنین قابلیت استراق سمع به خوراک آن، باز کردن درهایی را که دستگاهها مدیریت میکردند، و موارد دیگر را به دست آوردند.
سپس، محققان یک برنامه کاربردی پزشکی از راه دور را که با یکپارچه سازی QuickBlox SDK ایجاد شده بود، ارزیابی کردند. آنها نام برنامه را فاش نکردند اما توجه داشتند که این برنامه خدمات چت و ویدئو را برای بیماران ارائه می دهد تا بتوانند با پزشکان ارتباط برقرار کنند.
بر اساس تحقیقات فنی CPR، این برنامه خاص قبلاً دارای آسیبپذیریهایی بود و هنگامی که با نقصهای QuickBlox ترکیب میشد، برنامه کل پایگاه داده کاربر، از جمله سوابق پزشکی و تاریخچه پزشکی و چت را که برنامه ذخیره میکرد، فاش کرد. علاوه بر این، هر کسی میتواند جعل یک پزشک، اصلاح اطلاعات، یا ارتباط مستقیم با بیماران از طرف پزشک خود باشد.