Aplikacja mobilna Setracker2 na Android (com.tgelec.setracker) w wersjach 3.1.5 i wcześniejszych przesyła do usług backendowych wyłącznie hash hasła zamiast pełnego procesu uwierzytelnienia. Atakujący, który wejdzie w posiadanie hasha, może uzyskać pełny dostęp do konta bez znajomości hasła jawnego.
▸ Pokaż oryginał (EN)
Setracker2 Android Companion App com.tgelec.setracker versions 3.1.5 and prior only require the password hash when authenticating with backend services from the client. This could allow an attacker, who knows the hash, to authenticate and gain full access.
Aplikacja podczas logowania do usług backendowych przesyła jedynie hash hasła użytkownika, nie stosując dodatkowych mechanizmów weryfikacji (np. challenge-response). Oznacza to, że hash pełni rolę tożsamości uwierzytelniającej — wystarczy go przechwycić lub pozyskać z innego źródła (np. wycieku bazy danych, sniffingu ruchu sieciowego). Atakujący dysponujący hashem może bezpośrednio uwierzytelnić się w backendzie aplikacji i przejąć kontrolę nad kontem ofiary (atak typu pass-the-hash).
Atakujący znający hash hasła użytkownika może uwierzytelnić się w backendzie Setracker2 i uzyskać pełny dostęp do konta, w tym do danych śledzenia i zarządzania urządzeniami powiązanymi z aplikacją.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zalecana jest aktualizacja aplikacji do wersji nowszej niż 3.1.5, która powinna implementować bezpieczny mechanizm uwierzytelnienia niepolegający wyłącznie na przekazywaniu hasha hasła.
Aplikacja Setracker2 na Android (com.tgelec.setracker) w wersjach 3.1.5 i wcześniejszych.
Podatność sklasyfikowana jako CWE-836 (Use of Password Hash Instead of Password for Authentication). Referencja techniczna pochodzi z repozytorium CSAF CISA (va-26-176-01).
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X