Die Sicherheitsforscher von Team82, der Forschungsabteilung des XIoT-Security-Spezialisten Claroty, haben gemeinsam mit Check Point Research (CPR) erhebliche Schwachstellen in der verbreiteten QuickBlox-Plattform aufgedeckt, die vor allem in den Bereichen Telemedizin, Finanzen und IoT eingesetzt wird. Hierdurch sind Millionen von Patientendaten, aber auch beispielsweise intelligente Gebäudesteuerungen gefährdet. QuickBlox hat eng mit Team82 und CPR zusammengearbeitet, um die Schwachstellen zu schließen, und hat diese durch eine neue sichere Architektur und eine neue API behoben. Allen, die QuickBlox einsetzen, wird dringend empfohlen, auf die jeweils neue Version zu aktualisieren.
Über 20.000 Applikationen setzen auf QuickBlox
Echtzeit-Chat- und Videodienste in Anwendungen für Telemedizin, Finanzen und IoT-Geräte, die von Millionen Menschen genutzt werden, basieren häufig auf dem verbreiteten QuickBlox-Framework. QuickBlox stellt Entwicklern von Mobil- und Webanwendungen ein SDK und APIs zur Verfügung, mit denen sie nicht nur Benutzerverwaltung, öffentliche und private Echtzeit-Chatfunktionen, sondern auch Sicherheitsfunktionen bereitstellen können. Mithilfe verschiedener Methoden wie Google Dorking, Suchen in BeVigil und anderen Suchmaschinen konnten die Sicherheitsforscher QuickBlox-Tokens bei Dutzenden verschiedener Anwendungen finden und extrahieren, darunter eine Gaming Applikation mit über 10 Millionen Nutzern, zahlreiche Healthcare- und Telemedizin-Anwendungen mit insgesamt über 5 Millionen Nutzern sowie mehrere Kommunikations-Apps mit über 10 Millionen Nutzern.
Team82 hat in Zusammenarbeit mit Check Point Research ein gemeinsames Forschungsprojekt durchgeführt, um die Sicherheit des QuickBlox SDK zu untersuchen. Hierbei wurden einige größere Sicherheitslücken in der Architektur der QuickBlox-Plattform aufgedeckt, die es Angreifern ermöglichen, auf die Benutzerdatenbanken von Zehntausenden Anwendungen zuzugreifen und Millionen Benutzerdaten zu gefährden. Durch die Verkettung der identifizierten Schwachstellen mit anderen Sicherheitslücken in den anvisierten Anwendungen fanden die Sicherheitsforscher spezielle Wege, um Angriffe auszuführen, die es ihnen ermöglichten, Türen über Intercom-Anwendungen aus der Ferne zu öffnen und auch Patientendaten von einer großen Telemedizinplattform abzugreifen.
Übernahme der intelligenten Gegensprechanlagen von Rozkom
Einer der untersuchten Angriffsvektoren umfasst das Auffinden und Ausnutzen von Schwachstellen in einer Cloud-basierten IoT-Plattform, die zur Verwaltung intelligenter Gegensprechanlagen von Rozcom verwendet wird, einem in Israel ansässigen Anbieter für gewerbliche und privat genutzte Gegensprechanlagen. Dabei fanden die Sicherheitsforscher mehrere Schwachstellen in der Rozcom-Architektur, die es ihnen ermöglichte, alle Benutzerdatenbanken herunterzuladen und vollständige Account-Takeover-Angriffe durchzuführen. Dadurch konnten sie alle Rozcom-Gegensprechanlagen übernehmen und erhielten so die volle Kontrolle über die Geräte. Entsprechend waren sie in der Lage, unter anderem auf die Kameras und Mikrofone der Geräte zuzugreifen, den Feed abzuhören sowie von den Geräten verwaltete Türen zu öffnen.
Offenlegung von Benutzerdatenbanken und Krankenakten auf Telemedizin-Plattform
Die Spezialisten von Team82 und CPR untersuchten zudem eine Telemedizin-Plattform für gesundheitsbezogene Dienstleistungen und Informationen mittels elektronischer Informations- und Telekommunikationstechnologien. Diese ermöglicht den Kontakt zwischen Patienten und Ärzten über große Entfernungen via Chat oder Video für Pflege, Beratung, Erinnerungen und weitere Leistungen. Durch die Kombination der QuickBlox-Schwachstellen mit den spezifischen Sicherheitslücken der Telemedizin-App konnten die gesamte Benutzerdatenbank sowie die in der Anwendung gespeicherten medizinischen Daten und die Historie ausgespäht werden. Darüber hinaus können sich Angreifer als Arzt ausgeben, Informationen ändern oder sogar in Echtzeit per Chat und Video mit echten Patienten auf der Plattform im Namen eines echten Arztes kommunizieren, was ein enormes Sicherheitsrisiko darstellt.
Die Sicherheitsforscher sehen von einer Veröffentlichung des Namens der Anwendung ab, da sie noch nicht auf die neue QuickBlox-API aktualisiert wurde und so zum Zeitpunkt der Veröffentlichung weiterhin angreifbar ist.
Enge Kooperation zur Behebung der Schwachstellen
„Wir haben eng mit QuickBlox zusammengearbeitet, um die Probleme zu beheben. QuickBlox reagierte auf unsere Offenlegung mit der Entwicklung einer neuen sicheren Architektur für seine Plattform und einer neuen API, auf die die Kunden so schnell wie möglich migrieren sollten“, erklärt Amir Preminger, VP Research von Team82. „Wir danken QuickBlox für die Zusammenarbeit und die schnelle Reaktion, mit der die Schwachstellen behoben wurden, um so die Sicherheit und den Schutz der persönlichen Daten der Nutzer zu gewährleisten.“
Weitere detaillierte Informationen zu den Schwachstellen, Hintergründe und die Proof of Concepts finden sich im entsprechenden Blog-Beitrag von Claroty.
