Falhas de segurança no QuickBlox expõem milhões de dados confidenciais

Análise feita pela parceria entre Claroty Team82 e a Check Point Research identificaram diversas vulnerabilidades na aplicação de desenvolvimento de software. As exposições viabilizavam acessos a intercomunicadores inteligentes e abrir portas remotamente, além de vazar informações de pacientes em aplicativos de telemedicina.

Compartilhar:

O Claroty Team82 e a Check Point Research (CPR) uniram forças para realizar uma análise minuciosa da segurança do popular kit de desenvolvimento de software (SDK) e interface de programação de aplicativos (API), chamado QuickBlox. O objetivo era identificar vulnerabilidades que pudessem expor dados confidenciais de milhões de usuários.

A plataforma QuickBlox é amplamente utilizada em aplicativos de telemedicina, finanças e dispositivos IoT inteligentes, oferecendo SDK e APIs para desenvolvedores de aplicativos móveis e web. Essa estrutura não apenas permite recursos de gerenciamento de usuários e bate-papo em tempo real, mas também garante conformidade com regulamentações como o HIPAA e GDPR.

Ao conduzir a pesquisa, o Claroty Team82 e a CPR encontraram várias vulnerabilidades críticas na arquitetura do QuickBlox. Demonstraram também provas de conceito de exploração em aplicativos que usavam o QuickBlox SDK e API. Esses ataques singulares permitiam ao agente mal-intencionado acessar intercomunicadores inteligentes e abrir portas remotamente, além de vazar informações de pacientes em aplicativos de telemedicina.

Um aspecto crítico estava relacionado à documentação oficial, que orientava os desenvolvedores a adicionar segredos (AUTH_KEY, AUTH_SECRET) aos seus aplicativos. Nunca é uma boa ideia esconder tokens de autenticação secreta em aplicativos, porque eles são considerados informações públicas e podem ser facilmente extraídos usando vários métodos, desde engenharia reversa até uma análise dinâmica com Frida.

Os pesquisadores também analisaram dois cenários específicos para demonstrar como os invasores poderiam explorar essas vulnerabilidades. Primeiro, eles examinaram uma plataforma IoT baseada em nuvem – usada para gerenciar intercomunicadores inteligentes vendidos pela Rozcom – um fornecedor com sede em Israel, que vende intercomunicadores para uso residencial e comercial -, e encontraram múltiplas vulnerabilidades que permitiam controlar dispositivos de intercomunicação, acessar câmeras e microfones do dispositivo, entre outros. 

Em segundo lugar, analisaram um aplicativo de telemedicina – cujo nome do app não foi divulgado, porque ele ainda não havia sido atualizado para a nova API da QuickBlox e permanecia vulnerável no momento da publicação -, que, combinado com as vulnerabilidades da QuickBlox, permitia vazar todo o banco de dados do usuário, juntamente com os registros médicos relacionados e o histórico armazenado no app.

A QuickBlox trabalhou em estreita colaboração com o Claroty Team82 e a Check Point Research para abordar essas descobertas, e corrigiu as vulnerabilidades por meio de um novo design de arquitetura segura e uma nova API. A empresa incentivou os seus clientes a migrarem para a versão mais recente.

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Relatório: Ciberataques globais seguem em níveis elevados e Brasil está entre os mais expostos

Os pesquisadores relatam que ataques cibernéticos globais atingiram o volume de quase 2.000 por semana por organização em agosto; no...
Security Report | Overview

Incidentes cibernéticos podem derrubar preço das ações em até 1,5%, revela estudo

Levantamento revela correlação direta entre ataques digitais e perdas financeiras prolongadas nas maiores empresas dos EUA
Security Report | Overview

Cenário global de cibersegurança expõe vulnerabilidades na América Latina

Relatório mostra que IA impulsiona ataques mais sofisticados e América Latina registra nível crítico de ciberameaças em 2025
Security Report | Overview

Nova cepa de malware é estudada após ataque em APIs expostas

Estudo descobr euma nova cepa de malware que tem como alvo APIs Docker expostas, com capacidades de infecção expandidas. Ele...