金融应用程序公开用户数据

一款名为“Money Lover”的金融应用程序被发现泄露了用户交易及其相关的元数据，包括钱包名称和电子邮件地址。

该公司于 2 月 7 日在博客文章中发布了调查结果。

Money Lover 由总部位于越南的 Finsify 开发，是一款用于管理个人财务的工具：预算、跟踪费用等。

它可在适用于 Android 的 Google Play、适用于 PC 的 Microsoft Store 和适用于 iOS 的 App Store 中获得，它在 1,000 多名评论者中获得 4.6 星评级，这些评论者可能会或可能不会受到该漏洞的影响。

尽管该应用程序没有泄露实际的银行账户或信用卡详细信息，但其客户账户的潜在危险肯定会在财务上影响金融供应商和客户。当金融机构失去客户的信任时，他们的声誉可能会受到打击。

Trustwave 安全研究员兼 Money Lover 用户 Troy Driver 开始对 Money Lover 的安全性感到好奇。

因此，他使用其 Web 界面，通过代理服务器路由其流量，并在其中发现了一个问题：从浏览器开发人员工具窗口的 Web 套接字选项卡中，他可以看到电子邮件地址、钱包名称和实时交易数据。

该应用程序的每个共享钱包（由两个或更多用户管理的钱包）。

这是一个访问控制被破坏的典型案例，他一个以其他方式获得授权的用户，能够查看本应在他的权限之外保留的数据。

基于博客中的少量信息，怀疑正在使用的 API存在 API1、API2 和或 API3 漏洞，”也就是损坏分别是对象级授权、损坏的用户身份验证和过度的数据暴露（所有形式的破坏访问控制）。

这种漏洞非常普遍。每隔几年左右，开放 Web 应用程序安全项目 (WASP) 就会发布一份前 10 名列表，对行业专业人士进行广泛的测试和调查，以跟踪最常见的 Web 安全漏洞。

在其最新的 2021 年迭代中，损坏的访问控制在列表中排名第一。

访问中断不仅普遍，而且很危险。如果应用程序存在上述一个或多个漏洞，攻击者精心设计完美请求以获得更多数据访问权限只是时间问题。

虽然这种情况下的敏感数据并不是那么敏感（即，不是支付卡详细信息或凭据），但建议用户不要对这种情况轻视，因为它们可能会导致进一步的针对性攻击。例如，交叉引用过去泄露的电子邮件地址可能会导致帐户接管或假冒。

即使是 Money Lover 泄露的基本元数据也可能会继续下去，对于喜欢使用动物每一部分的黑客来说。

例如，可能会发生这样一种情况，攻击者通过电子邮件联系其中一位共享钱包的用户，并建议在特定的共享钱包名称和交易 ID 中看不到资金。然后攻击者可以建议此人将资金转账到不同的账户，或者登录以‘检查’交易，但提供凭证捕获网页的链接。

任何 Money Lover 用户都没有理由能够看到任何其他用户的交易。加强对授权用户的权限是一项重要的安全控制。

截至 1 月 27 日，Money Lover 应用修补了该漏洞；用户应该将他们的应用程序更新到最新版本。

原文始发于微信公众号（网络研究院）：金融应用程序公开用户数据