PT-2012-32: Раскрытие пользовательских данных в Sanuel Family
(PT-2012-32) Positive Technologies Security Advisory
Раскрытие пользовательских данных в Sanuel Family
Уязвимое ПО
Sanuel Family
Версия: 11.1.0 и более ранняя
Ссылка на приложение:
http://www.sanuel.com/ru/family/
https://play.google.com/store/apps/details?id=com.familymobile
Рейтинг опасности
Уровень опасности: Высокий
Воздействие: Раскрытие пользовательских данных
Вектор атаки: Удаленный
CVSS v2:
Base Score: 8.5
Vector: (AV:N/AC:L/Au:N/C:C/I:P/A:N)
CVE: отсутствует
Описание программы
Sanuel Family — программа, предназначенная для управления личными финансами. Позволяет вести бюджет семьи, финансовый учет малого бизнеса, а также заниматься анализом и учетом инвестиций. Мобильное приложение Family Mobile позволяет синхронизировать личные расходы с версией программы для ПК.
Описание уязвимости
Специалисты исследовательского центра Positive Research обнаружили уязвимость "Раскрытие пользовательских данных" в Sanuel Family.
Уязвимость обнаружена в протоколе обмена данными мобильного и настольного приложений с сервером синхронизации программы.
Злоумышленник может перехватить учетные данные пользователя и сведения о расходах, а также получить доступ к информации о счетах пользователя и суммам находящихся на них денежных средств.
Учетные данные пользователя: логин и пароль (в POST-запросе), а также данные о расходах в виде XML передаются открытым текстом. Перехватив трафик, злоумышленник может получить эти данные в виде открытого текста. Хотя информация относительно деперсонализирована, т.е. привязана к произвольно выбираемому логину пользователя, ее можно использовать для получения сведений о финансовом состоянии.
Данные POST-запросов:
Full request URI: http://www.sanuel.com/sync/syncpost.php
Line-based text data: application/x-www-form-urlencoded
command=auth&login=HERE_GOES_MY_USERNAME&pass=here_goes_my_pass
---------------
Full request URI: http://www.sanuel.com/sync/syncapp.php
command=cats&login=HERE_GOES_MY_USERNAME&pass=here_goes_my_pass&data=<?xml version="1.0" encoding="windows-1251" standalone="yes" ?><data><categories><category><name>\301\340\341\363\370\352\340</name><type>2</type></category><category><name>\301\37
Решение
Отсутствует
Статус уведомления
27.08.2012 - Производитель уведомлен
27.08.2012 - Производителю отправлены детали уязвимости
26.09.2012 - Детали уязвимости отправлены в CERT
03.10.2012 - Публикация уязвимости
Благодарности
Уязвимость обнаружил Денис Горчаков (Исследовательcкий центр Positive Research компании Positive Technologies)
Ссылки
http://www.securitylab.ru/lab/PT-2012-32
Список отчетов о ранее обнаруженных уязвимостях Positive Research:
http://www.ptsecurity.ru/lab/advisory/
http://www.securitylab.ru/lab/
О Positive Technologies
Positive Technologies www.ptsecurity.ru - одна из ведущих российских компаний в области информационной безопасности.
Основные направления деятельности компании - разработка систем комплексного мониторинга информационной безопасности (XSpider, MaxPatrol); предоставление консалтинговых и сервисных услуг в области информационной безопасности; развитие специализированного портала Securitylab.ru.
Заказчиками Positive Technologies являются более 40 государственных учреждений, более 50 банков и финансовых структур, 20 телекоммуникационных компаний, более 40 промышленных предприятий, компании ИТ-индустрии, сервисные и ритейловые компании России, стран СНГ, Балтии, а также Великобритании, Германии, Голландии, Израиля, Ирана, Китая, Мексики, США, Таиланда, Турции, Эквадора, ЮАР, Японии.
Positive Technologies - это команда высококвалифицированных разработчиков, консультантов и экспертов, которые обладают большим практическим опытом, имеют профессиональные звания и сертификаты, являются членами международных организаций и активно участвуют в развитии отрасли.