Android、iOS、および Windows 向けの Money Lover 金融アプリの欠陥により、ログインしたメンバーは、他のユーザーの共有ウォレットの電子メール アドレスとライブ トランザクション メタデータを見ることができました。
Money Lover は、ユーザーが支出と予算を管理できる金融アプリで、Play ストアで 500 万回ダウンロードされており、このアプリは iOS と Windows でも利用できます。
Money Lover を使用すると、ユーザーは、家族や同僚などの特定のユーザーと「共有ウォレット」を作成して、取引を記録し、経費の記録と監視で協力することができます。
通常、共有ウォレットに招待されたユーザーはお互いを知っているため、データと電子メール アドレスを共有することが期待されます。
しかし、Trustwave のアナリストで Money Lover ユーザーの Troy Driver は、共有ウォレットに関連付けられたトランザクション データと電子メール アドレスが、アプリの認証済みユーザーに公開されていることを発見しました。
「共有ウォレットのトランザクションは、ユーザーの電子メール アドレスや共有ウォレット名などのユーザー情報を開示します」と、 Trustwave のレポートを読みます。
「電子メール アドレスと共有ウォレット名は、ブラウザの [開発者ツール] の [Web ソケット] タブで表示できます。共有ウォレット機能を利用するすべての Money Lover ユーザーは、この問題の影響を受けます。」
アナリストは、プロキシとブラウザーの開発者ツールの Web ソケット ビューを使用してアプリのトラフィックを調べているときに、情報漏えいの欠陥を発見しました。
公開されたデータには、電子メール アドレス、ウォレット名、限られた取引データが含まれていました。
アナリストは、これらが JavaScript ライブラリの開発者の電子メールである可能性があると考えました。しかし、リストにさらに多くのアドレスが追加されると、アプリのサーバーが機密情報を漏えいしていることが明らかになりました。
Trustwave はこの問題を Money Lover の発行元である Finsify に報告し、2023 年 1 月 27 日に修正アップデートをリリースしました。
レポートでは、欠陥が発見された時期や、Money Lover のユーザーがどのくらいの期間この脆弱性にさらされていたかについては明らかにされていません。
情報漏えいのバグは、共有ウォレット機能を使用したユーザーのみに影響したことを明確にする必要があります。
この欠陥の主な影響は、電子メール アドレスとトランザクション メタデータにアクセスする攻撃者が、さらされたユーザーに対してターゲットを絞ったフィッシング攻撃を実行して、さらに重要な情報にアクセスできることです。
Money Lover ユーザーは、オペレーティング システムのアプリ ストアを使用して、利用可能な最新バージョンにアプリを更新することをお勧めします。
コメント