Broken authorization in der Dreamehome app

Title

Broken authorization

Product

Dreamehome app

Vulnerable Version

<=2.1.5 (iOS)

Fixed Version

-

CVE Number

-

Impact

medium

Found

17.01.2024

By

Alissa Kim (Office Bochum) | SEC Consult Vulnerability Lab

Die Dreamehome App ist anfällig für eine Schwachstelle innerhalb der Authorisierung. Ein Besitzer des Staubsaugerroboters kann diesen mit anderen Benutzern teilen. Die Berechtigungen des freigegebenen Benutzers sind jedoch sehr begrenzt. Obwohl es nicht möglich ist, über die mobile Anwendung mit Fotos und Videos zu interagieren, ist es dennoch möglich, die Bilder/Videos zu löschen und aufzulisten und sogar die verschlüsselten Bilder/Videos herunterzuladen, indem die Anfragen mit dem JWT des freigegebenen Benutzers gesendet werden.

Zum vollständigen Security Advisory (Englisch).

EOF Alissa Kim / @2024

 

Interesse an einer Zusammenarbeit mit den Experten von SEC Consult? Senden Sie uns Ihre Bewerbung.
Möchten Sie Ihre eigene Cyber-Sicherheit mit den Experten von SEC Consult verbessern? Kontaktieren Sie unsere lokalen Büros.