适用于 Android、iOS 和 Windows 的 Money Lover 金融应用程序存在缺陷,允许任何登录成员查看其他用户共享钱包的电子邮件地址和实时交易元数据。
Money Lover 是一款财务应用程序,可让用户管理他们的开支和预算,该应用程序已在 Play 商店中被下载了五百万次,该应用程序还适用于 iOS 和 Windows。
Money Lover 允许用户创建与特定用户(如家庭成员或同事)的“共享钱包”,以记录交易以在费用记录和监控方面进行协作。
受邀加入共享钱包的用户通常彼此认识,因此需要共享数据和电子邮件地址。
但是,Trustwave 的分析师和 Money Lover 用户 Troy Driver 发现,与共享钱包关联的交易数据和电子邮件地址会暴露给该应用程序的任何经过身份验证的用户。
“共享钱包交易会泄露用户信息,例如用户的电子邮件地址和共享钱包名称,”Trustwave 报告中写道。
“可以通过浏览器的“开发者工具”的 Web Sockets 选项卡查看电子邮件地址和共享钱包名称。所有使用共享钱包功能的 Money Lover 用户都会受到此问题的影响。”
分析师在使用代理和浏览器开发人员工具中的 Web Sockets 视图检查应用流量时发现了信息泄露漏洞。
暴露的数据包括电子邮件地址、钱包名称和有限的交易数据。
分析师认为这些可能是 JavaScript 库开发人员的电子邮件。 然而,当列表中迅速填充更多地址时,很明显该应用程序的服务器正在泄露敏感信息。
Trustwave 已将此问题报告给 Money Lover 的发行商 Finsify,后者于 2023 年 1 月 27 日发布了修复更新。
该报告没有说明缺陷是何时被发现的,也没有说明 Money Lover 用户暴露了多长时间。
必须澄清的是,信息泄露错误仅影响使用共享钱包功能的用户。
此缺陷的主要影响是,访问电子邮件地址和交易元数据的攻击者可以对暴露的用户执行有针对性的网络钓鱼攻击,以获取对更多敏感信息的访问权限。
建议 Money Lover 用户使用其操作系统的应用商店将其应用更新到最新可用版本。
如若转载,请注明出处:https://www.ozabc.com/it/534690.html