Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en Siemens SPCanywhere

Múltiples vulnerabilidades en Siemens SPCanywhere

Fecha de publicación: 
06/03/2015
Importancia: 
3 - Media
Recursos afectados: 
  • SPCanywhere para Android. Todas las versiones
  • SPCanywhere para iOS. Todas las versiones
Descripción: 

Se han descubierto varias vulnerabilidades que permitirían a un atacante manipular la aplicación Sismens SPCanywhere o extraer información sensible de la comunicación entre la misma y el sistema de alarmas.

Solución: 

Actualizar el software a la última versión a través de Google Play o Apple App Store.

Detalle: 

Siemens SPCanywhere es una aplicación móvil que permite gestionar remotamente sistemas de alarma desde el teléfono. Se han identificado las siguientes vulnerabilidades relacionadas con la misma.

Falta de cifrado en datos sensibles

Puede obtenerse la IP de un sistema de alarma debido a que la resolución de ID a IP se hace sin cifrar. (CVE-2015-1595)

La validación del certificado SSL no se realiza correctamente, lo que permite a un atacante manipular o capturar sesiones protegidas con SSL/TLS. Se ha reservado el identificador CVE-2015-1596.

Eliminación incorrecta de información sensible

La carga de código sin cifrar permite a un atacante manipular la aplicación y ejecutar código (sólo afecta a Android). Se ha reservado el identificador CVE-2015-1597.

Contraseñas almacenadas en un formato recuperable

Las contraseñas son almacenadas de tal forma que un atacante con acceso físico al dispositivo puede extraerlas. (CVE-2015-1598)

Sorteo de la autenticación

Un atacante con acceso físico al dispositivo puede saltarse el control de acceso debido a las características del sistema de ficheros. Se ha reservado el identificador CVE-2015-1598.