RSA Conference: Unsichere Konferenz-App leakt Teilnehmerliste

Hardgecodete Keys in einer mobilen App ermöglichten das Auslesen von Vor- und Nachnamen von RSA-Konferenzteilnehmern. Mittlerweile wurde das Problem (beinahe komplett) behoben.

In Pocket speichern vorlesen Druckansicht 22 Kommentare lesen
RSA Conference: Unsichere API ermöglicht das Abrufen vertraulicher Teilnehmerdaten

(Bild: Twitter / @svblxyz)

Lesezeit: 1 Min.

Ausgerechnet die mobile App zur diesjährigen RSA-Sicherheitskonferenz hat sich als unsicher erwiesen: Ein IT-Sicherheitsexperte mit dem Twitter-Nutzernamen svbl fand im dekompilierten (und in keiner Form obfuskierten) Code nicht nur URLs zu einer verschlüsselten Datenbank auf den Servern der Veranstalter, sondern auch einen hardgecodeten Key, der über Umwege deren Entschlüsselung ermöglichte. Er veröffentlichte am gestrigen Donnerstagmittag eine Schritt-für-Schritt-Anleitung zum Herunterladen und Entschlüsseln der Datenbank.

Das RSA-Conference-Team bestätigte das Sicherheitsproblem wenige Stunden später. Lediglich 114 Vor- und Nachnamen von Teilnehmern seien unbefugt abgefragt worden – offenbar zu Testzwecken durch svbl. Ob die Datenbank noch weitere vertrauliche Daten enthielt, die bis zum Bekanntwerden der Schwachstelle gefährdet waren, bleibt unklar; das Statement des Konferenz-Teams lässt jedenfalls Raum für Spekulationen.

Laut svbl ist das Entschlüsseln der Datenbank mittels der von ihm beschriebenen Schritte mittlerweile nicht mehr möglich. Der Download der verschlüsselten SQLite-Datei funktioniert zum Veröffentlichungszeitpunkt dieser Meldung nach Recherche von heise Security allerdings noch immer – und zwar über einen Link, den svbl getrennt von seiner Anleitung ebenfalls bei Twitter postete.

Update (21.04.2018, 22:53 Uhr): Missverständliche Formulierung angepasst. (ovw)