Convide Messaging App中的安全漏洞公开用户详细信息

Convide是美国白宫工作人员据报道的一个消息传递应用程序，显然有几个安全漏洞，使自欺欺人更容易。

安全咨询Ioactive发现了信任的漏洞，这将自己促进为提供“军用级”端到端加密的应用程序。

但尽管其营销，但该应用程序在周三帖子中表示，该应用程序仍然具有保护用户帐户信息的辉煌问题。

咨询咨询说明它可以通过利用应用程序管理系统中的漏洞来访问7,000个信任用户的记录。部分问题驻留使用信徒的API，可用于揭示用户的电话号码和电子邮件地址的数据。

遗漏尤其有问题，鉴于旨在旨在促进隐私。据报道，共和国官员和白宫工作人员由于能够在被读取后删除的“自我毁坏”消息而采用该应用程序。

但是，Ioactive发现的漏洞表明消息传递应用程序不使用最佳安全性实践。

例如，应用程序允许用户选择易于猜测的密码。它还未能停止对用户帐户的“蛮力”攻击，这可能涉及通过试验和错误猜测用户密码。

ioactive添加了从应用程序发送的数据并不总是安全地完成。使用有效的SSL（安全套接字层）服务器证书来忽略该软件的通知系统以通过Internet进行通信。这可能将应用程序暴露于中间人攻击，并允许黑客窃听互联网流量。

此外，使用系统省略的应用程序省略以验证加密的消息，这意味着信任本身可以篡改在传输中发送的任何消息。

信守已经修补了问题。周三，该公司表示：“不仅解决了这些问题，但我们也没有检测到任何其他方都被利用。”

但这不是第一次信任对该应用程序的安全性面临担忧。上个月，记者注意到信心应用程序允许他们查找白宫工作人员的电话号码，包括新闻秘书肖恩皮尔。

在电子邮件中，Confide表示，其安全团队始终监控其保护用户的系统。

“由于出现问题，我们仍然致力于快速有效地解决它们，正如我们在这一切和各种情况下所做的那样，”它说。