RSA Conferentie-app gooit gegevens bezoekers op straat

Kwaadwillenden kunnen met hard coded wachtwoord God-modus verkrijgen.

Oh, de ironie! Een conferentie die helemaal in het teken staat van beveiliging maakt gebruik van een onveilige app om badges te scannen. De app heeft blijkbaar een hard-coded wachtwoord aan boord waarmee kwaadwillenden het toestel over kunnen nemen, rooten, en erger.

Op de Cybersecurity-beurs RSA 2016 kunnen exposanten, net als op veel andere beurzen, badges van bezoekers scannen om informatie te verzamelen. Op deze beurs wordt dat gedaan met Samsung Galaxy S4-smartphones in combinatie met een app.




Beveiligingsonderzoeker Andrew Blaich, van Bluebox security, besloot de scan-app (die gewoon in Google's playstore staat) eens goed onder handen te nemen en kwam erachter dat er een standaard admin-wachtwoord is ingebouwd.

"Met dit wachtwoord kunnen aanvallers toegang krijgen tot de ontwikkelaarsmodus van de app. Daarnaast kan het apparaat worden geroot en kan er data worden uitgelezen en malware worden geïnstalleerd," aldus Blaich.

Het erge (en ironische) hiervan is dat de badges gelinkt zijn aan een database waarin alle informatie van bezoekers aan de beveiligingsconferentie is opgeslagen. Je zou verwachten dat er op een beurs als deze extra goed wordt gelet op het beveiligen van data. Maar Blaich ontkracht dat. "Het feit dat de app wordt gebruikt op een van de grootste cyber security conferenties ter wereld, betekent niet automatisch dat deze beter is beveiligd."

De onderzoeker gaat ervan uit dat dit wachtwoord is opgeslagen om gebruikt te worden als terugvalmechanisme voor het geval medewerkers hun zelf aangemaakte wachtwoord zouden vergeten.