O Claroty Team82 e a Check Point Research (CPR) uniram forças para realizar uma análise minuciosa da segurança do popular kit de desenvolvimento de software (SDK) e interface de programação de aplicativos (API), chamado QuickBlox. O objetivo era identificar vulnerabilidades que pudessem expor dados confidenciais de milhões de usuários.
A plataforma QuickBlox é amplamente utilizada em aplicativos de telemedicina, finanças e dispositivos IoT inteligentes, oferecendo SDK e APIs para desenvolvedores de aplicativos móveis e web. Essa estrutura não apenas permite recursos de gerenciamento de usuários e bate-papo em tempo real, mas também garante conformidade com regulamentações como o HIPAA e GDPR.
Ao conduzir a pesquisa, o Claroty Team82 e a CPR encontraram várias vulnerabilidades críticas na arquitetura do QuickBlox. Demonstraram também provas de conceito de exploração em aplicativos que usavam o QuickBlox SDK e API. Esses ataques singulares permitiam ao agente mal-intencionado acessar intercomunicadores inteligentes e abrir portas remotamente, além de vazar informações de pacientes em aplicativos de telemedicina.
Um aspecto crítico estava relacionado à documentação oficial, que orientava os desenvolvedores a adicionar segredos (AUTH_KEY, AUTH_SECRET) aos seus aplicativos. Nunca é uma boa ideia esconder tokens de autenticação secreta em aplicativos, porque eles são considerados informações públicas e podem ser facilmente extraídos usando vários métodos, desde engenharia reversa até uma análise dinâmica com Frida.
Os pesquisadores também analisaram dois cenários específicos para demonstrar como os invasores poderiam explorar essas vulnerabilidades. Primeiro, eles examinaram uma plataforma IoT baseada em nuvem – usada para gerenciar intercomunicadores inteligentes vendidos pela Rozcom – um fornecedor com sede em Israel, que vende intercomunicadores para uso residencial e comercial -, e encontraram múltiplas vulnerabilidades que permitiam controlar dispositivos de intercomunicação, acessar câmeras e microfones do dispositivo, entre outros.
Em segundo lugar, analisaram um aplicativo de telemedicina – cujo nome do app não foi divulgado, porque ele ainda não havia sido atualizado para a nova API da QuickBlox e permanecia vulnerável no momento da publicação -, que, combinado com as vulnerabilidades da QuickBlox, permitia vazar todo o banco de dados do usuário, juntamente com os registros médicos relacionados e o histórico armazenado no app.
A QuickBlox trabalhou em estreita colaboração com o Claroty Team82 e a Check Point Research para abordar essas descobertas, e corrigiu as vulnerabilidades por meio de um novo design de arquitetura segura e uma nova API. A empresa incentivou os seus clientes a migrarem para a versão mais recente.
