Report: Yahoo Messenger
Advisory: | VoidSec-14-001 |
Disclosure date: | December 08, 2014 |
CVSS Score: | 3.2 |
Vendor: | Yahoo |
Vulnerability discovery date: | November 21, 2014 |
Table of Contents
Scarica il Report [IT] | Download the Report [EN]
Introduzione
Android offre agli sviluppatori diverse opzioni per salvare i dati persistenti delle applicazioni. I database locali dovrebbero archiviare i dati in maniera differente, a seconda che i dati siano privati e accessibili solo all’applicazione o all’utente e ad applicazioni esterne. In ogni caso, i dati sensibili dovrebbero sempre essere cifrati per evitare possibili violazioni della privacy. L’applicazione per Android, Yahoo Messenger, utilizza un database SQLite per memorizzare i dati dell’utente.
Nello scenario attuale, le seguenti informazioni, sono memorizzati in chiaro:
- Lista degli account registrati/aggiunti presenti in lista amici
- Lista degli account utenti ignorati
- Storico delle chat utente
Le precedenti problematiche impattano direttamente sulla privacy degli utenti.
Vulnerabilità
- Insecure Local Data Storage
Conclusioni
Un utente malintenzionato con accesso al dispositivo o a un’applicazione con privilegi di root è in grado di leggere esportare, modificare e alterare i dati delle conversazioni.
Non abbiamo ancora notato malware creato per rubare le conversazioni degli utenti, forse per lo scarso interesse che i cyber criminali nutrono per esse.
E’ comunque possibile condurre attacchi mirati nei confronti degli utenti Yahoo Messenger per recuperare informazioni utili ad attacchi di tipo social engineering e portare a termine ulteriori compromissioni ove le conversazioni contengano dati e informazioni sensibili.
di Nitin Goplani