Archivo

domingo, 6 de febrero de 2011

HTC Peep: Robo de credenciales


     HTC Peep es el cliente de Twitter en los dispositivos HTC, esta aplicación cuando realiza la conección con el servidor de Twitter envía el nombre de usuario y contraseña en texto claro, pudiendo ser vistos facilmente por cualquier atacante q este escuchando ese canal (eavesdropping), la segunda vulnerabilidad q expone nuestra información, esta relacionada con la forma en q la aplicación guarda nuestro datos de logueo para realizar transacciones en los servidores de Twiter, resulta q HTC Peep los reenvía codificados con Base64, como se muestra en la imagen de abajo ..

     No es ningún secreto como decodificar esta información, solo basta con una linea de comando y listo, ya podemos ver el usuario hackingmobile y su correspondiente contraseña megasecretpass


$ echo -ne "aGFja2luZ21vYmlsZTptZWdhc2VjcmV0cGFzcw==" | base64 -d
hackingmobile:megasecretpass


     Es una lastima q HTC aun no haya liberado ningún parche oficial, ya q la gente Taddong informo sobre estas vulnerabilidades hace seis meses atrás. Los modelos afectados son HD2, T-Mobile, Topaz, Rhodim, y HD Mini.



Para mas información ...

http://blog.taddong.com/2011/02/vulnerability-in-htc-peep-twitter.html
Publicar un comentario