Die Anveo Mobile App (Windows Version) validiert die Serverzertifikate nicht, was Man-in-the-Middle Angriffe ermöglicht. Der Anveo Server ist außerdem verwundbar gegen User Enumeration, da er unterschiedliche Fehlermeldungen für existierende oder nicht-existierende Benutzer zurückgibt. Der Hersteller meldete sich nicht auf unsere Kontaktversuche und löschte auch unseren LinkedIn Kommentar zur Kontaktaufnahme, siehe Timeline unten für nähere Details.
Zum vollständigen Security Advisory (Englisch).
EOF Daniel Hirschberger / @2023
Interesse an einer Zusammenarbeit mit den Experten von SEC Consult? Senden Sie uns Ihre Bewerbung.
Möchten Sie Ihre eigene Cyber-Sicherheit mit den Experten von SEC Consult verbessern? Kontaktieren Sie unsere lokalen Büros.