Svenska Techworld skriver idag att Securitas larm-app skickar lösenord i klartext och felet upptäcktes för två år sedan av en privatkund.
Securitas har installerat tusentals larm runt om i Sverige och nu visar det sig att deras mobilapp skickar både användarnamn och lösenord i klartext vilket gör att kunderna kan drabbas av så kallade man-in-the-middle-attacker. En privatkund vid namn Hugo Millwood upptäckte detta för snart två år sedan och berättar för Techworld:
“Jag upptäckte sårbarheten en dag på jobbet när jag använde Charles Proxy, ett populärt verktyg för att inspektera anrop. Jag höll på att validera att ett anrop gick iväg korrekt i appen jag jobbade med och såg ett anrop som hade gått iväg tidigare som jag inte kände igen. När jag klickade på det såg jag bland annat mitt användarnamn och lösenord i klartext och listade ut att det var ett anrop som hade gjorts i Securitas-appen”
Det hela är ännu inte åtgärdat och Securitas har meddelat att sårbarheten enbart gäller på Android-telefoner.
Via Techworld