Ошибки в ПО для управления тренажерным залом позволяют хакерам изменять результаты тренировок пользователей

29
FTC предупреждает о вымогателях, нацеленных на ЛГБТК + сообщество в приложениях для знакомств

Исследователи безопасности обнаружили уязвимости в фитнес-платформе Wodify, которая позволяет злоумышленнику просматривать и изменять тренировки пользователей в любом из более чем 5000 тренажерных залов, которые используют это решение по всему миру.

Пользовательские данные (например, личные данные, тренировки, платежи) в настоящее время могут быть под угрозой, поскольку Wodify еще не подтвердил развертывание патча, несмотря на то, что у него было достаточно времени для решения проблем безопасности.

Wodify – это универсальная платформа, которую используют более 5000 тренажерных залов по всему миру. Помимо предложения вариантов управления членством, он также может помочь клиентам достичь своих целей и лучше отслеживать их эффективность.

Платформа предназначена как для тренеров, так и для спортсменов и включает автоматизированную систему выставления счетов, планирование занятий, позволяет создавать индивидуальные тренировки и отслеживать данные о физической форме (например, пульсе) в режиме реального времени.

Изменение данных тренировки пользователя

В опубликованном сегодня отчете исследователи из компании по кибербезопасности Bishop Fox раскрыли ряд уязвимостей в платформе Wodify, которые могут повлиять не только на тренировки и личную информацию пользователей, но и на финансовые показатели тренажерного зала.

«Использование недостатков позволяет перечислять и изменять записи на платформе Wodify из всех тренажерных залов, которые ее используют», – говорит Дардан Пребреза, старший консультант по безопасности в Bishop Fox. Несмотря на необходимость аутентификации, проблемы имеют серьезные последствия.

«При изменении данных злоумышленник может вставить вредоносные сохраненные полезные данные JavaScript, что приведет к XSS. Это может быть использовано для взлома сеанса пользователя, кражи хешированного пароля или JWT пользователя через уязвимость раскрытия конфиденциальной информации» – Дардан Пребреза

По словам исследователя, взломав административные учетные записи спортзала, финансово мотивированный злоумышленник может изменить настройки оплаты, чтобы украсть деньги у посетителей спортзала.

Одна из уязвимостей связана с недостаточным контролем авторизации, который может служить для перечисления пользователей и изменения их данных на платформе Wodify.

Использование ошибки требует аутентификации. Исследователь успешно протестировал эту ошибку после получения согласия клиента Wodify на использование его учетной записи.

Такой доступ позволял вставлять вредоносный код, который мог бы повлиять на других пользователей платформы, «включая администраторов инстансов или тренажерных залов», посредством атак межсайтового скриптинга (XSS).

Добавив вредоносную полезную нагрузку JavaScript в комментарий к тренировке целевого пользователя, исследователь активировал XSS-уязвимость, которая позволила бы изменять данные тренировок всех пользователей Wodify, включая результаты.

Дальнейшее расследование выявило четыре сохраненных уязвимости XSS в приложении Wodify. Привилегий обычного пользователя достаточно, чтобы внедрить вредоносный JavaScript в результат тренировки, который вызовет ошибку XSS.

Пользователь, загружающий эту страницу, запускал запуск кода злоумышленника, потенциально давая ему административный доступ к целевому приложению спортзала.

«Если злоумышленник таким образом получит административный доступ к определенному тренажерному залу, он сможет вносить изменения в настройки оплаты, а также получать доступ и обновлять личную информацию других пользователей» – Дардан Пребреза

Другая уязвимость в приложении Wodify раскрывает конфиденциальную информацию пользователя и позволяет захватить сеансы с помощью уязвимости XSS.

Патч не подтвержден

Пребреза впервые уведомил Wodify о своих выводах более полугода назад, а в апреле ему сказали, что ошибки будут исправлены в течение 90 дней.

Исследователь сказал BleepingComputer, что коммуникация с Wodify была очень сложной, и компании потребовалось много времени, чтобы признать уязвимости.

«Потребовалось почти два месяца, пока они не признали уязвимости, и только напрямую связавшись с генеральным директором по электронной почте, которая затем связала меня с их новым руководителем отдела технологий еще в апреле».

«Они должны были выпустить новую / исправленную версию в мае, но потом ее несколько раз откладывали. В последний раз, когда они ответили нам, они упомянули 5 августа как окончательную дату выпуска », – сказал исследователь.

Согласно графику раскрытия информации от епископа Фокса, Wodify должен был выпустить новую версию приложения 11 июня, но отложил обновление на 5 августа.

Однако епископ Фокс говорит, что они не получали известий от поставщика с 13 июля и не знают, был ли выпущен патч для клиентов.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here