PT-2012-33: Множественные уязвимости в Sanuel Family

(PT-2012-33) Positive Technologies Security Advisory
Множественные уязвимости в Sanuel Family

Уязвимое ПО

Sanuel Family
Версия: 11.1.0 и более ранняя

Ссылка на приложение:
http://www.sanuel.com/ru/family/
https://play.google.com/store/apps/details?id=com.familymobile

Рейтинг опасности

Уровень опасности: Высокий
Воздействие: Внедрение операторов SQL, раскрытие информации
Вектор атаки: Удаленный

CVSS v2:
Base Score: 10
Vector: (AV:N/AC:L/Au:N/C:C/I:C/A:C)

CVE: отсутствует

Описание программы

Sanuel Family — программа, предназначенная для управления личными финансами. Позволяет вести бюджет семьи, финансовый учет малого бизнеса, а также заниматься анализом и учетом инвестиций. Мобильное приложение Family Mobile позволяет синхронизировать личные расходы с версией программы для ПК.

Описание уязвимости

Специалисты исследовательского центра Positive Research обнаружили множественные уязвимости в Sanuel Family.
Уязвимости обнаружены в протоколе обмена данными мобильного и настольного приложений с сервером синхронизации программы. Злоумышленник может перехватить служебные учетные данные, используемые для хранения информации на сервере синхронизации, а также подменить SQL-запросы к базе данных, либо внедрить код в передаваемые XML-данные, что может привести к копированию, искажению или уничтожениюпользовательских данных, а также к компрометации сервера синхронизации.

Учетные данные пользователя СУБД, а также запросы к ней: логин, хэш пароля, имя БД а также SQL-запросы передаются открытым текстом по незашифрованному каналу. Перехватив и изменив трафик, злоумышленник может получить эти данные в виде открытого текста либо исказить их.

Данные анализатора пакетов:
host: 78.108.89.191
user: family_user
base: b25764_family
pwd_hash: 6e279eaabccc3ef3e22872e1ab3fe571c7568e97
---------------------------
Проверка и выгрузка данных

select u_id from users where u_login='HERE_WAS_MY_LOGIN'\r\n
SHOW TABLES FROM b25764_family LIKE 'users'
SHOW COLUMNS FROM b25764_family.users LIKE '%'
Set NAMES cp1251\r\n
select tr_account,tr_cat,tr_tag,tr_payee,tr_dat,tr_sum,tr_comment,ac_name,ac_currency from transactions left join accounts on transactions.tr_account=accounts.ac_account where transactions.user_id=3293 and accounts.u
SHOW TABLES FROM b25764_family LIKE 'transactions'
SHOW COLUMNS FROM b25764_family.transactions LIKE '%'

Решение

Отсутствует

Статус уведомления

27.08.2012 - Производитель уведомлен
27.08.2012 - Производителю отправлены детали уязвимости
26.09.2012 - Детали уязвимости отправлены в CERT
03.10.2012 - Публикация уязвимости

Благодарности

Уязвимость обнаружил Денис Горчаков (Исследовательcкий центр Positive Research компании Positive Technologies)


Ссылки

http://www.securitylab.ru/lab/PT-2012-33

Список отчетов о ранее обнаруженных уязвимостях Positive Research:

http://www.ptsecurity.ru/lab/advisory/
http://www.securitylab.ru/lab/

О Positive Technologies

Positive Technologies www.ptsecurity.ru - одна из ведущих российских компаний в области информационной безопасности. 
Основные направления деятельности компании - разработка систем комплексного мониторинга информационной безопасности (XSpider, MaxPatrol); предоставление консалтинговых и сервисных услуг в области информационной безопасности; развитие специализированного портала Securitylab.ru.

Заказчиками Positive Technologies являются более 40 государственных учреждений, более 50 банков и финансовых структур, 20 телекоммуникационных компаний, более 40 промышленных предприятий, компании ИТ-индустрии, сервисные и ритейловые компании России, стран СНГ, Балтии, а также Великобритании, Германии, Голландии, Израиля, Ирана, Китая, Мексики, США, Таиланда, Турции, Эквадора, ЮАР, Японии.

Positive Technologies - это команда высококвалифицированных разработчиков, консультантов и экспертов, которые обладают большим практическим опытом, имеют профессиональные звания и сертификаты, являются членами международных организаций и активно участвуют в развитии отрасли.