QuickBlox’un yazılım geliştirme kitini ve uygulama programlama arabirimini (API) inceledikten sonra, Team 82, Check Point Research ile birlikte milyonlarca insanın kişisel verilerini riske atan kritik güvenlik açıkları olduğunu tespit etti.
QuickBlox, finans ve teletıp dahil olmak üzere çeşitli sektörlerde kullanılan bir sohbet ve görüntülü arama platformudur. Team 82 ve Check Point Research, platformun güvenlik açıklarını araştırırken, API’yi çalıştıran uygulamalar için birkaç kavram kanıtı istismarına öncülük etti.
Ekipler ayrıca, QuickBlox mimarisindeki gizli belirteçlerin ve parolaların, tehdit aktörlerinin QuickBlox kullanıcıları hakkında bilgi edinmesine nasıl izin verebileceğine dair örnekler de sağladı. Araştırmacılar, bu güvenlik açıklarından yararlanmanın ve potansiyel saldırıları gerçekleştirmenin benzersiz yollarını buldular ve sonuçta interkom özelliklerini kullanarak kapıları uzaktan açmalarına veya bir teletıp platformundan hasta bilgilerini sızdırmalarına olanak sağladılar.
Team82 ve Check Point Research, platformu için yeni mimari ve tamamen yeni bir API dahil olmak üzere sorunlara çözüm bulmak için QuickBlox ile birlikte çalıştı. QuickBlox kullanıcılarının her iki güncelleme için de en son sürümlere geçmeleri önerilir.