Zephyrnet-logo

Financiële app 'Money Lover' onthult gebruikersgegevens

Datum:

Er is een financiële app genaamd "Money Lover" gevonden die gebruikerstransacties en de bijbehorende metadata lekt, inclusief portefeuillenamen en e-mailadressen.

Dat is volgens Trustwave, dat zijn bevindingen publiceerde in een blogpost op feb. 7.

Money Lover, ontwikkeld door het in Vietnam gevestigde Finsify, is een hulpmiddel voor het beheren van persoonlijke financiën - budgetteren, uitgaven bijhouden, enzovoort. Het is beschikbaar in Google Play voor Android, de Microsoft Store voor pc's en de App Store voor iOS, waar het een beoordeling van 4.6 sterren geniet van meer dan 1,000 recensenten, die al dan niet door de kwetsbaarheid zijn getroffen.

Hoewel de app geen echte bankrekening- of creditcardgegevens heeft gelekt, "zal het potentiële gevaar voor de rekeningen van hun klanten zeker financiële gevolgen hebben voor zowel de financiële verkoper als de klant", schreef Karl Sigler, een senior beveiligingsonderzoeksmanager bij Trustwave. "En als je een financiële instelling hebt die het vertrouwen van een klant verliest, zullen ze waarschijnlijk een reputatieschade oplopen."

De Money Lover-bug

Troy Driver, een beveiligingsonderzoeker van Trustwave en gebruiker van Money Lover, werd nieuwsgierig naar de beveiliging van Money Lover. Dus, met behulp van de webinterface, leidde hij het verkeer via een proxyserver, waar hij een probleem ontdekte: op het tabblad Websockets van het venster met ontwikkelaarstools van zijn browser kon hij de e-mailadressen, portefeuillenamen en live transactiegegevens zien die zijn gekoppeld aan elk van de gedeelde portefeuilles van de app (portefeuilles beheerd door twee of meer gebruikers).

Het was een klassiek geval van verbroken toegangscontroles, waarbij hij - een overigens geautoriseerde gebruiker - gegevens kon bekijken die buiten zijn toestemming hadden moeten worden bewaard.

"Op basis van de kleine hoeveelheid informatie in de blog", speculeert Stephen Gates, beveiligingsevangelist bij Checkmarx, tegen Dark Reading, "zou ik vermoeden dat een API in gebruik heeft een API1-, API2- en/of API3-kwetsbaarheid', oftewel verbroken autorisatie op objectniveau, verbroken gebruikersauthenticatie en overmatige gegevensblootstelling, respectievelijk (alle vormen van verbroken toegangscontrole).

Dergelijke kwetsbaarheden komen zeer vaak voor. Om de paar jaar publiceert het Open Web Application Security Project (WASP) een Top 10-lijst, met behulp van uitgebreide tests en enquêtes onder professionals uit de industrie om de meest voorkomende kwetsbaarheden in de webbeveiliging op te sporen. In zijn nieuwste versie van 2021, stonden kapotte toegangscontroles op nummer 1 op de lijst.

Gebroken toegang komt echter niet alleen veel voor, het is ook gevaarlijk. "Als de app een of meer van de bovengenoemde kwetsbaarheden heeft", voegt Gates toe, "is het slechts een kwestie van tijd voordat aanvallers het perfecte verzoek bedenken om mogelijk toegang te krijgen tot nog meer gegevens."

De implicaties van de bug

Hoewel de gevoelige gegevens in dit geval niet zo gevoelig zijn (dwz geen betaalkaartgegevens of inloggegevens), wordt gebruikers geadviseerd om dit soort gevallen niet te koesteren, omdat ze later kunnen leiden tot meer gerichte aanvallen. Het kruisverwijzen van e-mailadressen met eerdere lekken kan bijvoorbeeld leiden tot accountovername of nabootsing van identiteit.

Zelfs de basismetadata die door Money Lover zijn gelekt, zouden iets kunnen zijn voor hackers die als het ware elk deel van het dier willen gebruiken.

“Er kan zich bijvoorbeeld een scenario voordoen waarin een aanvaller contact opneemt met een van de gebruikers die een portemonnee deelt via e-mail en suggereert dat er geen geld wordt gezien in een specifieke gedeelde portemonneenaam en transactie-ID. De aanvaller kan de persoon dan aanraden om geld over te maken naar een andere rekening of misschien in te loggen om de transactie te 'controleren', maar een link te geven naar een webpagina voor het vastleggen van inloggegevens."

Sigler zegt het ronduit: “Er is geen reden voor een Money Lover-gebruiker om de transacties van een andere gebruiker te kunnen zien. Het aanscherpen van de toestemming voor alleen geautoriseerde gebruikers is een belangrijke beveiligingscontrole.”

Vanaf 27 januari heeft de Money Lover-app de kwetsbaarheid gepatcht; gebruikers moeten hun apps bijwerken naar de nieuwste versie.

spot_img

Laatste intelligentie

spot_img