“Money Lover” adlı bir finans uygulamasının, cüzdan adları ve e-posta adresleri dahil olmak üzere kullanıcı işlemlerini ve bunlarla ilişkili meta verileri sızdırdığı tespit edildi.
Bu, bulgularını 7 Şubat’ta bir blog gönderisinde yayınlayan Trustwave’e göre.
Vietnam merkezli Finsify tarafından geliştirilen Money Lover, bütçeleme, harcamaları takip etme vb. gibi kişisel mali durumları yönetmek için kullanılan bir araçtır. Android için Google Play’de, PC’ler için Microsoft Store’da ve güvenlik açığından etkilenmiş veya etkilenmemiş olabilecek 1.000’den fazla yorumcu tarafından 4,6 yıldızla derecelendirilen iOS için App Store’da mevcuttur.
Trustwave’de kıdemli bir güvenlik araştırma yöneticisi olan Karl Sigler, uygulama gerçek bir banka hesabı veya kredi kartı ayrıntılarını sızdırmasa da, “müşterilerinin hesaplarına yönelik potansiyel tehlike kesinlikle hem finansal satıcıyı hem de müşteriyi parasal olarak etkileyecektir” diye yazdı. “Müşterinin güvenini kaybeden bir finans kuruluşunuz olduğunda, büyük olasılıkla itibarlarının zedelendiğini göreceklerdir.”
Para Aşığı Böceği
Trustwave güvenlik araştırmacısı ve Money Lover kullanıcısı olan Troy Driver, Money Lover’ın güvenliğini merak etmeye başladı. Böylece, Web arayüzünü kullanarak trafiğini bir proxy sunucu üzerinden yönlendirdi ve burada bir sorun keşfetti: Tarayıcısının geliştirici araçları penceresinin Web soketleri sekmesinden e-posta adreslerini, cüzdan adlarını ve ilişkili canlı işlem verilerini görebiliyordu. uygulamanın paylaşılan cüzdanlarının her biri (iki veya daha fazla kullanıcı tarafından yönetilen cüzdanlar).
Bu, başka türlü yetkili bir kullanıcı olarak izinlerinin dışında tutulması gereken verileri görüntüleyebildiği klasik bir erişim kontrolleri ihlali durumuydu.
Checkmarx güvenlik savunucusu Stephen Gates, “Blogdaki az miktarda bilgiye dayanarak,” Dark Reading’e spekülasyon yapıyor, “Kullanımdaki bir API’nin API1, API2 ve/veya API3 güvenlik açığı olduğundan şüpheleniyorum”, diğer bir deyişle bozuk sırasıyla nesne düzeyinde yetkilendirme, bozuk kullanıcı kimlik doğrulaması ve aşırı veri teşhiri (her türlü bozuk erişim denetimi).
Bu tür güvenlik açıkları son derece yaygındır. Her birkaç yılda bir, Açık Web Uygulaması Güvenlik Projesi (WASP), en yaygın web güvenlik açıklarını izlemek için kapsamlı testler ve endüstri profesyonellerinin anketlerini kullanarak bir İlk 10 listesi yayınlar. En son 2021 yinelemesinde, bozuk erişim kontrolleri listede 1 numara oldu.
Kesintili erişim sadece yaygın olmakla kalmaz, aynı zamanda tehlikelidir. “Uygulama yukarıdaki güvenlik açıklarından bir veya daha fazlasına sahipse,” diye ekliyor Gates, “saldırganların muhtemelen daha da fazla veriye erişim elde etmek için mükemmel talebi oluşturması an meselesi.”
Böceğin Etkileri
Bu durumdaki hassas veriler o kadar da hassas olmasa da (ör. ödeme kartı ayrıntıları veya kimlik bilgileri değil), kullanıcılara bu tür vakaları hafife almamaları tavsiye edilir çünkü bunlar ileride daha isabetli saldırılara yol açabilir. Örneğin, geçmiş sızıntılara sahip e-posta adreslerini çapraz referanslamak, potansiyel olarak hesabın ele geçirilmesine veya kimliğe bürünmeye yol açabilir.
Money Lover tarafından sızdırılan temel meta veriler bile, hayvanın her parçasını olduğu gibi kullanmayı seven bilgisayar korsanları için devam edecek bir şey olabilir.
“Örneğin,” diye açıklıyor Sigler, “bir saldırganın bir cüzdanı paylaşan kullanıcılardan birine e-posta yoluyla ulaştığı ve fonların belirli bir paylaşılan cüzdan adında ve işlem kimliğinde görülmediğini öne sürdüğü bir senaryo ortaya çıkabilir. kişiye farklı bir hesaba para transfer etmesini veya işlemi ‘kontrol etmek’ için oturum açmasını önerin, ancak kimlik bilgisi yakalama web sayfasına bir bağlantı sağlayın.”
Sigler bunu açıkça ifade ediyor: “Herhangi bir Money Lover kullanıcısının diğer herhangi bir kullanıcının işlemlerini görebilmesi için hiçbir neden yok. İzinleri yalnızca yetkili kullanıcılar için sıkılaştırmak, önemli bir güvenlik denetimidir.”
27 Ocak itibarıyla Money Lover uygulaması güvenlik açığını düzeltti; kullanıcılar uygulamalarını en son sürüme güncellemelidir.