Aplikacja mobilna Meatmeet na Android w wersji 1.1.2.0 zawiera podatność umożliwiającą nieuprawniony dostęp do ukrytej strony z informacjami o nieopublikowanych urządzeniach. Atakujący może uzyskać wgląd w nieupublicznione produkty firmy Meatmeet, co stanowi zagrożenie dla poufności danych przedkomercyjnych.
▸ Pokaż oryginał (EN)
An issue was discovered in Meatmeet Android Mobile Application 1.1.2.0. An exported activity can be spawned with the mobile application which opens a hidden page. This page, which is not available through the normal flows of the application, contains several devices which can be added to your account, two of which have not been publicly released. As a result of this vulnerability, the attacker can gain insight into unreleased Meatmeet devices.
Aplikacja eksportuje activity systemu Android w sposób dostępny dla zewnętrznych aplikacji bez odpowiednich ograniczeń uprawnień. Atakujący może bezpośrednio uruchomić (spawn) to activity z poziomu innej aplikacji lub za pomocą narzędzi ADB, omijając normalne przepływy nawigacyjne aplikacji. Uruchomienie tego activity otwiera ukrytą stronę, która nie jest dostępna poprzez standardowy interfejs użytkownika, a która zawiera listę urządzeń możliwych do dodania do konta — w tym dwa urządzenia jeszcze nieogłoszone publicznie.
Atakujący może uzyskać dostęp do poufnych informacji handlowych dotyczących nieopublikowanych urządzeń Meatmeet, co może prowadzić do ujawnienia planów produktowych firmy przed ich oficjalną premierą.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Producent powinien ograniczyć eksportowanie podatnego activity poprzez ustawienie atrybutu android:exported="false" lub wprowadzenie odpowiednich uprawnień (permission) chroniących dostęp do tego komponentu.
Meatmeet Android Mobile Application w wersji 1.1.2.0
Podatność została opisana przez badacza działającego pod pseudonimem 'dead1nfluence', który opublikował szczegółowy opis techniczny w serwisie GitHub. Przypisana ocena CVSS 9.8 (CRITICAL) wydaje się zawyżona względem faktycznego wpływu opisanego w raporcie, który ogranicza się do ujawnienia informacji o nieopublikowanych urządzeniach (CWE-200) bez wskazania możliwości przejęcia konta czy wykonania kodu.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HMeatmeet
APPMeatmeet1.1.2.0
Powiązane podatności
Hardcoded credentials w aplikacji mobilnej Meatmeet
Meatmeet – transmisja danych w czystym tekście (HTTP), przechwycenie tokenów uwierzytelniania
Brak walidacji certyfikatu TLS w aplikacji mobilnej Meatmeet
The application uses an insecure hashing algorithm (MD5) to hash passwords. If an attacker obtained a copy of ...
The mobile application insecurely handles information stored within memory. By performing a memory dump on the...