PT-2012-32: Раскрытие пользовательских данных в Sanuel Family

Уязвимое ПО

Sanuel Family
Версия: 11.1.0 и более ранняя

Ссылка на приложение:
http://www.sanuel.com/ru/family/
https://play.google.com/store/apps/details?id=com.familymobile

Рейтинг опасности

Уровень опасности: Высокий
Воздействие: Раскрытие пользовательских данных
Вектор атаки: Удаленный

CVSS v2:
Base Score: 8.5
Vector: (AV:N/AC:L/Au:N/C:C/I:P/A:N)

CVE: отсутствует

Описание программы

Sanuel Family — программа, предназначенная для управления личными финансами. Позволяет вести бюджет семьи, финансовый учет малого бизнеса, а также заниматься анализом и учетом инвестиций. Мобильное приложение Family Mobile позволяет синхронизировать личные расходы с версией программы для ПК.

Описание уязвимости

Специалисты исследовательского центра Positive Research обнаружили уязвимость "Раскрытие пользовательских данных" в Sanuel Family.
Уязвимость обнаружена в протоколе обмена данными мобильного и настольного приложений с сервером синхронизации программы.
Злоумышленник может перехватить учетные данные пользователя и сведения о расходах, а также получить доступ к информации о счетах пользователя и суммам находящихся на них денежных средств.

Учетные данные пользователя: логин и пароль (в POST-запросе), а также данные о расходах в виде XML передаются открытым текстом. Перехватив трафик, злоумышленник может получить эти данные в виде открытого текста. Хотя информация относительно деперсонализирована, т.е. привязана к произвольно выбираемому логину пользователя, ее можно использовать для получения сведений о финансовом состоянии.

Данные POST-запросов:
Full request URI: http://www.sanuel.com/sync/syncpost.php
Line-based text data: application/x-www-form-urlencoded
command=auth&login=HERE_GOES_MY_USERNAME&pass=here_goes_my_pass
---------------
Full request URI: http://www.sanuel.com/sync/syncapp.php
command=cats&login=HERE_GOES_MY_USERNAME&pass=here_goes_my_pass&data=<?xml version="1.0" encoding="windows-1251" standalone="yes" ?><data><categories><category><name>\301\340\341\363\370\352\340</name><type>2</type></category><category><name>\301\37

Решение

Отсутствует

Статус уведомления

27.08.2012 - Производитель уведомлен
27.08.2012 - Производителю отправлены детали уязвимости
26.09.2012 - Детали уязвимости отправлены в CERT
03.10.2012 - Публикация уязвимости

Благодарности

Уязвимость обнаружил Денис Горчаков (Исследовательcкий центр Positive Research компании Positive Technologies)

Ссылки

http://www.securitylab.ru/lab/PT-2012-32

Список отчетов о ранее обнаруженных уязвимостях Positive Research:

http://www.ptsecurity.ru/lab/advisory/
http://www.securitylab.ru/lab/

Уязвимости