Segundo o o analista da Trustwave, o App Money Lover vazou endereços de e-mail e transações, especificamente os metadados das transações.
Money Lover é um aplicativo de finanças que permite aos usuários gerenciar suas despesas e orçamentos, que já foi baixado cinco milhões de vezes na Play Store, com o aplicativo também disponível para iOS e Windows.
Uma falha no aplicativo financeiro Money Lover para Android, iOS e Windows permitiu que qualquer membro conectado visse os endereços de e-mail e os metadados de transações ao vivo para as carteiras compartilhadas de outros usuários.
App Money Lover vazou endereços de e-mail e transações
O Money Lover permite que os usuários criem “carteiras compartilhadas” com usuários específicos, como membros da família ou colegas de trabalho, para registrar transações para colaborar no registro e monitoramento de despesas.
Os usuários convidados para uma carteira compartilhada geralmente se conhecem, portanto, é esperado o compartilhamento de dados e endereços de e-mail.
No entanto, o analista da Trustwave e usuário do Money Lover, Troy Driver, descobriu que dados de transações e endereços de e-mail associados a carteiras compartilhadas são expostos a qualquer usuário autenticado do aplicativo.
“As transações de carteira compartilhada divulgam informações do usuário, como o endereço de e-mail do usuário e o nome da carteira compartilhada”, diz o relatório da Trustwave.
“O endereço de e-mail e o nome da carteira compartilhada podem ser visualizados na guia Web Sockets das “Ferramentas do desenvolvedor” do navegador. Todos os usuários do Money Lover que usam o recurso Shared Wallet são afetados por esse problema.”
O analista descobriu a falha de divulgação de informações ao examinar o tráfego do aplicativo usando um proxy e a exibição de Web Sockets nas Ferramentas do desenvolvedor do navegador.
Os dados expostos incluíam endereços de e-mail, nomes de carteiras e dados limitados de transações.
O analista pensou que esses poderiam ser os e-mails dos desenvolvedores de uma biblioteca JavaScript. No entanto, quando a lista foi rapidamente preenchida com mais endereços, ficou claro que o servidor do aplicativo estava vazando informações confidenciais.
A Trustwave relatou o problema ao editor do Money Lover, Finsify, que lançou uma atualização de correção em 27 de janeiro de 2023.
O relatório não esclareceu quando a falha foi descoberta ou por quanto tempo os usuários do Money Lover permaneceram expostos.
É essencial esclarecer que o bug de divulgação de informações afetou apenas os usuários que usaram o recurso de carteira compartilhada.
A principal repercussão dessa falha é que um invasor que acessa endereços de e-mail e metadados de transação pode realizar ataques de phishing direcionados contra os usuários expostos para obter acesso a outras informações confidenciais.
Recomenda-se que os usuários do Money Lover atualizem seu aplicativo para a versão mais recente disponível usando a loja de aplicativos do sistema operacional.