Menú principal

miércoles, 6 de mayo de 2015

Local File Inclusion en la app PhotoWebsite 3.1 para iOS

En muchas ocasiones hemos oído hablar de la seguridad de los sistemas operativos y comparativos entre iOS, Android o BlackBerry. Cada vez son más los informes que se centran en las aplicaciones que corren sobre dichos sistemas, ya que en muchas ocasiones encontraremos los vectores de ataque en estas apps. Hoy traemos la noticia de un LFI encontrado en la app PhotoWebsite 3.1, la cual a día de hoy se encuentra en su última versión en la AppStore, por lo que no hay parche que solucione esto.

La aplicación monta un servicio con el que se puede acceder al contenido de las fotografías realizadas en el dispositivo. Se pueden subir fotografías al dispositivo y todo se gestiona a través de una contraseña. Como se dijo anteriormente, lo más grave es que a día de hoy la vulnerabilidad afecta a la última versión disponible de la aplicación. En el sitio web de Exploit-DB podemos encontrar el documento que habla sobre la vulnerabilidad. En este documento se detalla el CVSS, Common Vulnerability Scoring System, la fecha de liberación y los detalles técnicos para recrear la explotación de la vulnerabilidad, junto a una prueba de concepto.

Figura 1: LFI en PhotoWebsite obtenido en Exploit-DB

Con este LFI un atacante puede, de forma remota y no autorizada, leer información interna de la aplicación. El CVSS es de 6,6 ya que no se requiere interacción del usuario y es un ataque que puede llevarse a cabo de forma remota, aunque en la práctica no en Internet, ya que el dispositivo utilizará una red WiFi, ya que utilizando 3G u otro tipo de red no sería accesible, a priori

No hay comentarios:

Publicar un comentario en la entrada

Entrada destacada

Vente al "Security Innovation Day 2016: Let Security Be"

El Security Innovation Day es el evento desde el que Telefónica y ElevenPaths comparten los últimos lanzamientos y novedades en innovació...

Otras historias relacionadas

Entradas populares