Fallos de Zenly, exponen a los usuarios a la pérdida de datos y a la toma de cuentas

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

Expertos en seguridad han revelado dos vulnerabilidades que encontraron en la popular aplicación social, Zenly, que podría permitir la toma de posesión de cuentas (ATO) o la pérdida de datos de los clientes.

Los problemas, ahora parcheados, recibieron una calificación CVSS media. Aparecen en Zenly, una aplicación para teléfonos inteligentes que permite a los usuarios ver dónde están sus amigos y familiares en un mapa.

Según los investigadores de Checkmarx, el primer fallo expone los números de teléfono de los usuarios y, por tanto, podría utilizarse para elaborar ataques de vishing creíbles.

Checkmarx advirtió que el fallo podría ser explotado para dirigirse a los directores generales o a los responsables de la toma de decisiones de las organizaciones que puedan estar utilizando la aplicación, a través de otros usuarios de la organización.

La segunda vulnerabilidad de ATO proviene de la forma en que la API de Zenly maneja la autenticación de la sesión.

Normalmente llama a un endpoint “/SessionCreate” con el número de teléfono del usuario, que luego crea un token de sesión, y envía un código de verificación por SMS al usuario. A continuación, llama al endpoint “/SessionVerify” con el testigo de sesión y el código de verificación recibido por SMS, para iniciar la sesión del usuario.

“Un atacante puede hacerse con una cuenta de usuario abusando del endpoint /SessionCreate, que devolverá sistemáticamente el mismo token de sesión (aunque no sea válido) para el mismo usuario. Una vez que el usuario legítimo valida el código SMS para ese token de sesión, la sesión será válida tanto para el usuario legítimo como para el atacante”, explicó Checkmarx.

“El punto principal de este problema es que el atacante necesita obtener un token de sesión antes de que el usuario legítimo llame al endpoint /SessionVerify. Esto puede hacerse antes o después de que el usuario legítimo llame al endpoint /SessionCreate”.

Sin embargo, esto no es necesariamente sencillo de lograr, de ahí la puntuación CVSS de 4,7. Requeriría que el atacante conociera el móvil de la víctima y tuviera conocimiento de cuándo va a iniciar sesión, registrarse, dar de alta un nuevo dispositivo o pasar por el flujo de autenticación por otros motivos.

Checkmarx ha agradecido a Zenly su profesionalidad, cooperación y rápida asunción de responsabilidades a la hora de solucionar los problemas.

Info – Ciberseguridad Latam

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *