PT-2020-20282 · Oklok · Oklok Mobile Companion App+1
Publicado
2020-05-04
·
Atualizado
2021-07-21
·
CVE-2020-8792
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Aplicativo complementar móvel OKLOK versão 3.1.1
Cadeado Bluetooth com leitor de impressão digital FB50 versão 2.3
Descrição
O aplicativo móvel apresenta uma vulnerabilidade de exposição de informações. Ao tentar adicionar um cadeado já vinculado por meio de seu código de barras, o aplicativo revela o endereço de e-mail da conta à qual o cadeado está vinculado, bem como o nome do cadeado. As sequências de caracteres do código de barras seguem um padrão previsível, facilitando a adivinhação de entradas válidas. Como resultado, entradas de código de barras válidas e corretamente adivinhadas, inseridas pela interface do aplicativo, podem revelar endereços de e-mail e nomes de cadeados de usuários arbitrários.
Recomendações
Para a versão 3.1.1 do aplicativo móvel complementar OKLOK, considere implementar um mecanismo de geração de código de barras mais seguro para evitar padrões previsíveis.
Para o cadeado Bluetooth com impressão digital FB50 versão 2.3, restrinja o acesso ao recurso de entrada de código de barras do cadeado até que uma correção esteja disponível.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Use of Insufficiently Random Values
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Fingerprint Bluetooth Padlock Fb50
Oklok Mobile Companion App