RSA Conferenceの公式モバイルアプリに脆弱性見つかる

headless曰く、　20日まで米国・サンフランシスコで開催されたRSA Conference USA 2018の公式モバイルアプリで、登録ユーザーの姓名を含むリストにアクセス可能な脆弱性が見つかったそうだ（発見者のツイート、Ars Technica、Register）。

　このアプリはイベント用アプリを専門にするEventbase Technologyが開発したもの。一部の機能でログインが必要となっており、RSA Conferenceの公式サイトで作成したアカウントでログインするとトークンを含むXMLファイルが生成される。このトークンを指定してEventbase TechnologyのWeb APIにアクセスするとSQLiteデータベースファイルのURLを含むJSONレスポンスが返される。データベースファイルは暗号化されているが、レスポンスヘッダーにデータベースハッシュが含まれており、復号に必要な情報がすべて取得可能な状態だったという。

　発見者は100件以上の姓名を確認したところで調査を打ち切り、報告を受けたRSA ConferenceとEventbase Technologyは問題を数時間で修正したとのこと。RSA Conferenceの公式Twitterアカウントは、アクセスされた姓名が114件だったと報告している。RSA Conferenceの公式モバイルアプリでは別の開発元による2014年版でも、アプリがダウンロードするイベントデータのデータベースファイルに登録ユーザーの個人情報が含まれるという問題が発覚している。

　スラドのコメントを読む | ITセクション | セキュリティ | バグ | プライバシ

　関連ストーリー：
Intel、リモートキーボードアプリのバグ修正をあきらめる 2018年04月11日
Androidアプリ開発者の環境から任意ファイルを取得可能な脆弱性「ParseDroid」 2017年12月09日
Androidの「Toast」機能を使用したオーバーレイ攻撃 2017年09月14日
RSA Conference、参加登録者のTwitter認証情報を収集していたのではないかと疑われる 2016年01月24日