Содержание статьи
Это исследование получило третье место на Pentest Award 2025 в категории «Мобильный разлом». Соревнование ежегодно проводится компанией Awillix.
Внешний нарушитель мог использовать баг в API мобильного приложения, имея валидную пару из логина и OTP любого сотрудника компании, для выпуска сертификата на любого другого сотрудника.
Выпущенный сертификат содержал информацию об обоих сотрудниках и позволял получать доступ к одной части веб‑ресурсов от лица жертвы фишинга, а к другой части немаловажных ресурсов — от лица работника, который свой OTP никому не раскрывал.
Пример эксплуатации
Началось все с того, что я пошел гуглить корпоративные приложения организации. И сразу наткнулся на один интересный портал.
Как потом выяснилось, он должен был открываться строго при наличии сертификата, но эта проверка не работала, из‑за чего зайти на портал мог любой желающий.
Включив в браузере режим адаптивного дизайна, я нашел прямую ссылку для скачивания корпоративного мобильного приложения и без проблем скачал файл APK на свой компьютер.
Для ручного статического анализа APK я использовал jadx и сразу отметил для себя, что при сборке мобильного приложения обфускацию не использовали, — это сильно облегчило реверс.
Пробежавшись глазами по коду и используя фильтры для поиска по ключевым словам, я определил, что для аутентификации в приложении пользователь вводит свои логин и OTP.
Следующим шагом я нашел конечную точку, куда мобильное приложение отправляет учетные данные пользователя.
Продолжение доступно только участникам
Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».
Присоединяйся к сообществу «Xakep.ru»!
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
