Araştırmacılar, bu haftanın başlarında popüler bir finans ve bütçeleme mobil uygulamasının platformda oturum açmış olan herkese e-posta adreslerini ve diğer hassas verileri sızdırdığını keşfetti.
BleepingComputer’da bildirildiği üzere, Trustwave’den siber güvenlik araştırmacıları bir Android trafiğini inceliyorlardı. (yeni sekmede açılır), iOS ve Windows uygulaması Money Lover, hızlı bir şekilde e-posta adresleri ve diğer verilerle dolu bir listeye rastladıklarında, tarayıcının Geliştirici Araçları’nda bir proxy ve Web Yuvaları görünümü kullanıyor. Daha fazla araştırma, e-postaların sözde “paylaşılan cüzdan” özelliğinin kullanıcılarına ait olduğunu ortaya çıkardı.
Paylaşılan cüzdanlar sızdırıyor
Bir finans ve bütçeleme uygulaması olarak Money Lover, birden çok kullanıcının tek bir paylaşılan cüzdan üzerinde işbirliği yapmasına olanak tanır. Bunu, ev bütçesi için birden fazla hane üyesinin harcamalarını kaydedebildiği ve genel harcamaları takip edebildiği bir cüzdan olarak düşünün. Beklendiği gibi, aynı cüzdanı paylaşan kullanıcılar birbirlerinin e-postalarını görebilir. Ancak, platforma giriş yapmış olan herkes de giriş yapabilir ve sorun da bu. Dahası, araştırmacılar canlı işlem meta verilerinin de yayınlandığını keşfettiler.
Trustwave, “Paylaşılan cüzdan işlemleri, kullanıcının e-posta adresi ve paylaşılan cüzdan adı gibi kullanıcı bilgilerini ifşa ediyor” dedi. “E-posta adresi ve paylaşılan cüzdan adı, tarayıcının “Geliştirici Araçları”ndaki Web Yuvaları sekmesinden görüntülenebilir. Paylaşılan Cüzdan özelliğini kullanan tüm Money Lover kullanıcıları bu sorundan etkilenir.”
Araştırmacılar, güvenlik açığını ne zaman keşfettiklerini veya kaç kullanıcının etkilendiğini söylemediler. Bildiğimiz, Money Lover’ın yalnızca Google Play Store’da beş milyondan fazla indirildiği.
E-postalarını güvende tutmak için, kullanıcıların uygulamayı mümkün olan en kısa sürede en son sürüme güncellemeleri önerilir, aksi takdirde e-posta adresleri kimlik avı e-postaları ve kötü amaçlı yazılım bulaşma girişimleriyle bombardımana tutulabilir.
Aracılığıyla: BleepingBilgisayar (yeni sekmede açılır)