黑帽网络安全会议应用程序存在网络安全问题
看,我们明白了:网络安全很难。
不过,你认为本周在拉斯维加斯举行的黑帽网络安全会议的人们会更好地处理事情。然而,据著名的法国安全研究员巴蒂斯特罗伯特说,他们仍然设法发布一个会议应用程序,可能会使与会者的手机处于危险之中。
该会议现已进入第22个年头,将于8月3日至8日举行,对于兜售商品的网络安全公司来说,这是零基础。接下来是拉斯维加斯的DEF CON黑客会议,该会议具有明显的非企业风格。
“#BHUSA的官方Android应用程序是一个笑话,”罗伯特写道,他在Black Hat和DEF CON都在城里。 “对于这种规模的事件,这不是严重的@BlackHatEvents。”
罗伯特在推特上接受了Elliot Alderson的处理,毫不含糊地揭露了他所说的Android应用程序的缺陷。
“感谢#BlackHat应用,攻击者可以: – 在应用浏览器中打开随机网址 – 预拨号码 – 创建电子邮件 – 打开Chrome下载文件。”
随附的视频显示了所谓的漏洞。
#BHUSA的官方Android应用程序是一个笑话。对于这种大小的事件,这不是严重的@BlackHatEvents。
感谢#BlackHat应用,攻击者可以:
– 在应用浏览器中打开随机网址
– 预拨号码
– 创建电子邮件
– 打开Chrome以下载文件pic.twitter.com/mZ4UsuilPm– Elliot Alderson(@ fs0c131y)2019年8月8日
现在,重要的是,罗伯特补充说,单靠黑帽应用程序还不足以让理论上的攻击者破坏某人的某一天。相反,它将成为一两个冲击的一部分,涉及欺骗受害者下载攻击者正在制作的另一个应用程序。
是的,首先你需要通过安装应用程序感染受害者的设备然后你可以“利用”这个问题
– Elliot Alderson(@ fs0c131y)2019年8月8日
而且,在黑帽的每个人都放弃了他们在沙漠中的手机之前,罗伯特向那些担心“不是高优先级”的人保证。
即便如此,他写道,“在全球最大的安全会议的应用中,拥有这样的东西仍然是一种耻辱。”
但是,这个问题,无论你想要什么,都不是一个高优先级的问题。我没有反过来说。据说在世界上最大的安全会议的应用程序中有这样的东西仍然是一种耻辱
– Elliot Alderson(@ fs0c131y)2019年8月8日
也许这是真正的好处:即使是专业人士也会犯错误。
我们联系了罗伯特,询问这种类型的攻击在野外开展是多么容易,如果我们收到回复,它会更新。
与安全会议相关联的应用程序有其自身的安全问题并不完全令人放心。它也不是第一次发生。在2018年,RSA安全会议应用程序公开了与会者的个人数据,迫使组织者争相解决问题。
我们联系了Black Hat,试图确定它计划采取什么措施来解决Robert强调的问题。虽然截至记者发稿时我们还没有收到回复,但我们认为“世界领先的信息安全事件”的组织者完全是在事情之上。