Zephyrnet Logosu

'Money Lover' Finans Uygulaması Kullanıcı Verilerini Açığa Çıkarıyor

Tarih:

"Money Lover" adlı bir finans uygulamasının, cüzdan adları ve e-posta adresleri dahil olmak üzere kullanıcı işlemlerini ve bunlarla ilişkili meta verileri sızdırdığı tespit edildi.

Bulgularını bir dergide yayınlayan Trustwave'e göre bu böyle. blog yazısı 7

Vietnam merkezli Finsify tarafından geliştirilen Money Lover, bütçeleme, harcamaları takip etme vb. gibi kişisel mali durumları yönetmek için kullanılan bir araçtır. Android için Google Play'de, PC'ler için Microsoft Store'da ve güvenlik açığından etkilenmiş veya etkilenmemiş olabilecek 4.6'den fazla yorumcu tarafından 1,000 yıldızla derecelendirilen iOS için App Store'da mevcuttur.

Trustwave'de kıdemli bir güvenlik araştırma yöneticisi olan Karl Sigler, uygulama gerçek bir banka hesabı veya kredi kartı bilgilerini sızdırmasa da, "müşterilerinin hesaplarına yönelik potansiyel tehlike kesinlikle hem finansal satıcıyı hem de müşteriyi parasal olarak etkileyecektir" diye yazdı. "Müşterinin güvenini kaybeden bir finans kuruluşunuz olduğunda, büyük olasılıkla itibarlarının zedelendiğini göreceklerdir."

Para Aşığı Böceği

Trustwave güvenlik araştırmacısı ve Money Lover kullanıcısı olan Troy Driver, Money Lover'ın güvenliğini merak etmeye başladı. Böylece, Web arayüzünü kullanarak trafiğini bir proxy sunucu üzerinden yönlendirdi ve burada bir sorun keşfetti: Tarayıcısının geliştirici araçları penceresinin Web soketleri sekmesinden e-posta adreslerini, cüzdan adlarını ve ilişkili canlı işlem verilerini görebiliyordu. uygulamanın paylaşılan cüzdanlarının her biri (iki veya daha fazla kullanıcı tarafından yönetilen cüzdanlar).

Bu, başka türlü yetkili bir kullanıcı olarak izinlerinin dışında tutulması gereken verileri görüntüleyebildiği klasik bir erişim kontrolleri ihlali durumuydu.

Checkmarx güvenlik vaizi Stephen Gates, Dark Reading'e "Blogdaki az miktardaki bilgiye dayanarak," kullanımda bir API bir API1, API2 ve/veya API3 güvenlik açığına sahiptir," diğer bir deyişle bozuk nesne düzeyinde yetkilendirme, bozuk kullanıcı kimlik doğrulaması ve aşırı veri ifşası (her türlü bozuk erişim denetimi).

Bu tür güvenlik açıkları son derece yaygındır. Her birkaç yılda bir, Açık Web Uygulaması Güvenlik Projesi (WASP), en yaygın web güvenlik açıklarını izlemek için kapsamlı testler ve endüstri profesyonellerinin anketlerini kullanarak bir İlk 10 listesi yayınlar. onun içinde en son 2021 yinelemesi, bozuk erişim kontrolleri listede 1 numara oldu.

Kesintili erişim sadece yaygın olmakla kalmaz, aynı zamanda tehlikelidir. "Uygulama yukarıdaki güvenlik açıklarından bir veya daha fazlasına sahipse," diye ekliyor Gates, "saldırganların muhtemelen daha da fazla veriye erişim elde etmek için mükemmel talebi oluşturması an meselesi."

Böceğin Etkileri

Bu durumdaki hassas veriler o kadar da hassas olmasa da (ör. ödeme kartı ayrıntıları veya kimlik bilgileri değil), kullanıcılara bu tür vakaları hafife almamaları tavsiye edilir çünkü bunlar ileride daha isabetli saldırılara yol açabilir. Örneğin, geçmiş sızıntılara sahip e-posta adreslerini çapraz referanslamak, potansiyel olarak hesabın ele geçirilmesine veya kimliğe bürünmeye yol açabilir.

Money Lover tarafından sızdırılan temel meta veriler bile, hayvanın her parçasını olduğu gibi kullanmayı seven bilgisayar korsanları için devam edecek bir şey olabilir.

"Örneğin," diye açıklıyor Sigler, "bir saldırganın bir cüzdanı paylaşan kullanıcılardan birine e-posta yoluyla ulaştığı ve fonların belirli bir paylaşılan cüzdan adı ve işlem kimliğinde görülmediğini öne sürdüğü bir senaryo ortaya çıkabilir. Saldırgan daha sonra kişinin farklı bir hesaba para transfer etmesini önerebilir veya işlemi 'kontrol etmek' için oturum açabilir, ancak bir kimlik bilgisi yakalama web sayfasına bağlantı sağlayabilir.

Sigler bunu açıkça ifade ediyor: "Para Aşığı herhangi bir kullanıcının başka herhangi bir kullanıcının işlemlerini görebilmesi için hiçbir neden yok. İzni yalnızca yetkili kullanıcılara sıkılaştırmak, önemli bir güvenlik denetimidir."

27 Ocak itibarıyla Money Lover uygulaması güvenlik açığını düzeltti; kullanıcılar uygulamalarını en son sürüme güncellemelidir.

spot_img

En Son İstihbarat

spot_img