Lổ hổng “ngớ ngẩn” trong ứng dụng GroupMe trên iOS

Gần đây, tin tặc có thể chiếm được bất cứ tài khoản GroupMe nào đơn giản bằng cách biết được số điện thoại liên kết với tài khoản đó, báo cáo của một nhà nghiên cứu đăng tải thứ Sáu vừa qua.

GroupMe là một ứng dụng nhắn tin phổ biến trên Android, iOS, Windows Phone và thậm chí các dòng diện thoại cũ hơn thông qua SMS.

Năm 2011, GroupMe đã được Skype mua lại và trở thành một công ty con của Microsoft. Khi người dùng đăng kí tài khoản GroupMe thông qua ứng dụng iOS, việc đầu tiên phải làm là nhập tên, địa chỉ email, mật khẩu. Bước tiếp theo người dùng sẽ xác thực số điện thoại bằng số điện thoại của iPhone bạn dùng hoặc một số điện thoại khác. Người dùng chọn “số điện thoại khác” sẽ nhận được tin nhắn SMS chứa mã 4 kí tự cần nhập để hoàn thành quá trình đăng kí.

Vào cuối tháng 8, nhà nghiên cứu bảo mật Dylan Saccomanni tại New York đã phát hiện ra một lỗ hổng nghiêm trọng trong tính năng xác thực này. Tin tặc có thể điền một số điện thoại bất kì khi đăng kí một tài khoản mới và chọn xác thực trên “số điện thoại khác” (số điện thoại này đã được dùng với tài khoản GroupMe khác). GroupMe vẫn sẽ gửi mã 4 kí tự đến số điện thoại đó và tiếp tục quá trình đăng kí. Tuy nhiên, các nhà phát triển ứng dụng không thực hiện bất kì kiểu giới hạn hay cơ chế khóa bảo mật nào, việc tìm ra mã đúng là không hề khó bởi vì chỉ có 10,000 sự kết hợp.

“Tự động hóa quá trình nhập tài khoản cùng với số điện thoại là vô cùng đơn giản”. Tên, địa chỉ email và mật khẩu của tải khoản bị tấn công sẽ bị tin tặc thay đổi. Tuy nhiên, tất cả dữ liệu từ tài khoản nạn nhân bao gồm tin nhắn, nhóm, lịch sử tài khoản sẽ không bị thay đổi. Lỗ hổng này đã được báo cáo đến GroupMe vào 28 tháng 8 và được vá vào 17 tháng 9 với phiên bản 5.0 trê iOS.

Securityweek