Report: Yahoo Messenger

Back to Posts

Report: Yahoo Messenger

Advisory: VoidSec-14-001
Disclosure date: December 08, 2014
CVSS Score: 3.2
Vendor: Yahoo
Vulnerability discovery date: November 21, 2014

 

Scarica il Report [IT] | Download the Report [EN]

 

Introduzione

Android offre agli sviluppatori diverse opzioni per salvare i dati persistenti delle applicazioni. I database locali dovrebbero archiviare i dati in maniera differente, a seconda che i dati siano privati e accessibili solo all’applicazione o all’utente e ad applicazioni esterne. In ogni caso, i dati sensibili dovrebbero sempre essere cifrati per evitare possibili violazioni della privacy. L’applicazione per Android, Yahoo Messenger, utilizza un database SQLite per memorizzare i dati dell’utente.

Nello scenario attuale, le seguenti informazioni, sono memorizzati in chiaro:

  1. Lista degli account registrati/aggiunti presenti in lista amici
  2. Lista degli account utenti ignorati
  3. Storico delle chat utente

Le precedenti problematiche impattano direttamente sulla privacy degli utenti.

Vulnerabilità

  • Insecure Local Data Storage

Conclusioni

Un utente malintenzionato con accesso al dispositivo o a un’applicazione con privilegi di root è in grado di leggere esportare, modificare e alterare i dati delle conversazioni.

Non abbiamo ancora notato malware creato per rubare le conversazioni degli utenti, forse per lo scarso interesse che i cyber criminali nutrono per esse.

E’ comunque possibile condurre attacchi mirati nei confronti degli utenti Yahoo Messenger per recuperare informazioni utili ad attacchi di tipo social engineering e portare a termine ulteriori compromissioni ove le conversazioni contengano dati e informazioni sensibili.

di Nitin Goplani

Share this post

Back to Posts