Inicio de zonavirus, antivirus
zonavirus / noticias / vulnerabilidad en aplicacion de united airlines con parche al cabo de 6 meses de ser reportada

VULNERABILIDAD EN APLICACION DE UNITED AIRLINES CON PARCHE AL CABO DE 6 MESES DE SER REPORTADA

msc hotline sat
Monday, November 30, 2015
Una vulnerabilidad reportada en United Airlines podría haber sido explotada para manipular reservaciones de vuelos y datos de los clientes. Sin parche de seguridad durante casi seis meses, se aprovechó de dicha falla antes que fuera arreglada.



IMGEl investigador Randy Westergren encontró y reportó un problema en la aplicación móvil de United Airlines en mayo, poco después de que la aerolínea anunció su programa de recompensas de errores, el primero en su sector. El parche, sin embargo, llegó después de seis meses de idas y vueltas con United Airlines, Westergren prometió revelar el problema y alertar mediante una publicación.



https://trtpost-wpengine.netdna-ssl.com/files/2015/11/shutterstock_234242878-680x400.jpg" border="0" hspace="10" vspace="10"/>





La vulnerabilidad se encuentra en un punto final de la API, la cual exponía información personal de cualquier miembro del programa de viajero frecuente MileagePlus. Westergren dijo que su ataque implicó crear una cuenta, reservar un vuelo e inspeccionar las solicitudes de la aplicación. Vio que podía cambiar un parámetro en particular, mpNumber, y el vuelo de regreso, así como también la información de contacto para cualquier miembro de MileagePlus.



"La vulnerabilidad permite a un atacante, escencialmente, especificar el número de MileagePlus durante la petición que obtiene los próximos vuelos. Esto significa que uno podría estar conectado a su propia cuenta, pero solicitar los detalles de otra", dijo Westergren al portal noticioso Threatpost.



"Aunque los números de MileagePlus no eran secuenciales, parecían seguir un formato predecible", dijo. "Un amplio ataque incluiría adivinar el mpNumber y hacer una petición al punto final vulnerable. Un ataque dirigido simplemente requiere que un atacante sapa el mpNumber de la víctima".



La vulnerabilidad se conoce como una vulnerabilidad de referencia de objeto indirecto, pone en peligro los datos referenciados por el parámetro. Las respuestas devuelven los datos recordLocator junto con el apellido del cliente; información suficiente según Westergren, para permitir un ataque y gestionar cualquier reservación de vuelo.





Ver información original al respecto en Fuente:

http://www.seguridad.unam.mx/noticia/?noti=2641

 RSS Noticias AntivirusRSS Noticias Articulos AntivirusRSS Articulos RSS Descargas AntivirusRSS Descargas

>> Compartir

comparte con tus amigos, zonavirus.com
Redes Sociales en zonavirus
zonavirus / noticias / vulnerabilidad en aplicacion de united airlines con parche al cabo de 6 meses de ser reportada
© 1998-2024 - pym:sol Aviso Legal | Política de Privacidad | Política de Cookies | Contacto