Android, iOS ve Windows için Money Lover finans uygulamasındaki bir kusur, oturum açmış herhangi bir üyenin, diğer kullanıcıların paylaşılan cüzdanları için e-posta adreslerini ve canlı işlem meta verilerini görmesine izin verdi.
Money Lover, iOS ve Windows için de mevcut olan Play Store’dan beş milyon kez indirilen, kullanıcıların harcamalarını ve bütçelerini yönetmelerine olanak tanıyan bir finans uygulamasıdır.
Money Lover, kullanıcıların aile üyeleri veya iş arkadaşları gibi belirli kullanıcılarla “paylaşılan cüzdanlar” oluşturmasına, harcama kaydı ve izlemede işbirliği yapmak üzere işlemleri kaydetmesine olanak tanır.
Paylaşılan bir cüzdana davet edilen kullanıcılar genellikle birbirlerini tanır, bu nedenle veri ve e-posta adreslerinin paylaşılması beklenir.
Ancak Trustwave’in analisti ve Money Lover kullanıcısı Troy Driver, paylaşılan cüzdanlarla ilişkili işlem verilerinin ve e-posta adreslerinin, uygulamanın kimliği doğrulanmış tüm kullanıcılarına açık olduğunu tespit etti.
Trustwave raporunda “Paylaşılan cüzdan işlemleri, kullanıcının e-posta adresi ve paylaşılan cüzdan adı gibi kullanıcı bilgilerini ifşa ediyor” diyor.
“E-posta adresi ve paylaşılan cüzdan adı, tarayıcının “Geliştirici Araçları”ndaki Web Yuvaları sekmesinden görüntülenebilir. Paylaşılan Cüzdan özelliğini kullanan tüm Money Lover kullanıcıları bu sorundan etkilenir.”
Analist, tarayıcının Geliştirici Araçlarında bir proxy ve Web Yuvaları görünümü kullanarak uygulamanın trafiğini incelerken bilgi ifşa kusurunu keşfetti.
Açığa çıkan veriler e-posta adreslerini, cüzdan adlarını ve sınırlı işlem verilerini içeriyordu.
Analist, bunların bir JavaScript kitaplığının geliştiricilerinin e-postaları olabileceğini düşündü. Ancak liste hızla daha fazla adresle dolduğunda, uygulamanın sunucusunun hassas bilgileri sızdırdığı ortaya çıktı.
Trustwave, sorunu 27 Ocak 2023’te bir düzeltme güncellemesi yayınlayan Money Lover yayıncısı Finsify’a bildirdi.
Rapor, kusurun ne zaman keşfedildiğini veya Money Lover kullanıcılarının ne kadar süre maruz kaldıklarını netleştirmedi.
Bilgi ifşa hatasının yalnızca paylaşılan cüzdan özelliğini kullanan kullanıcıları etkilediğini açıklığa kavuşturmak önemlidir.
Bu kusurun ana yansıması, e-posta adreslerine ve işlem meta verilerine erişen bir saldırganın, daha fazla hassas bilgiye erişim elde etmek için açığa çıkan kullanıcılara yönelik hedefli kimlik avı saldırıları gerçekleştirebilmesidir.
Money Lover kullanıcılarının, işletim sistemlerinin uygulama mağazasını kullanarak uygulamalarını mevcut en son sürüme güncellemesi önerilir.