Aplikacja mobilna Meatmeet nie weryfikuje poprawności certyfikatów TLS, co umożliwia przechwycenie i modyfikację całego ruchu sieciowego przez atakującego znajdującego się na ścieżce komunikacji. W efekcie możliwe jest przejęcie konta użytkownika poprzez kradzież tokenów uwierzytelniających lub złamanie skrótu MD5 przesyłanego podczas logowania.
▸ Pokaż oryginał (EN)
Due to a lack of certificate validation, all traffic from the mobile application can be intercepted. As a result, an adversary located "upstream" can decrypt the TLS traffic, inspect its contents, and modify the requests in transit. This may result in a total compromise of the user's account if the attacker intercepts a request with active authentication tokens or cracks the MD5 hash sent on login.
Brak mechanizmu certificate pinning lub innej formy walidacji certyfikatu serwera pozwala atakującemu na przeprowadzenie ataku typu Man-in-the-Middle (MitM). Atakujący umieszczony między aplikacją a serwerem może podszyć się pod zaufany endpoint, odszyfrować szyfrowany ruch TLS, odczytać jego zawartość oraz modyfikować przesyłane żądania w locie. Szczególnie niebezpieczne jest przechwycenie aktywnych tokenów uwierzytelniających lub skrótu hasła w formacie MD5 przesyłanego podczas procesu logowania.
Atakujący może uzyskać pełną kontrolę nad kontem użytkownika poprzez kradzież tokenów sesji lub złamanie słabego skrótu MD5 przesyłanego przy logowaniu. Możliwa jest także modyfikacja danych przesyłanych między aplikacją a serwerem.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się wdrożenie certificate pinning w aplikacji mobilnej oraz zastąpienie MD5 bezpiecznym algorytmem haszowania haseł (np. bcrypt, Argon2).
Aplikacja mobilna Meatmeet (produkt Meatmeet) — wersje wskazane w referencjach producenta
Szczegółowy opis techniczny podatności opublikował badacz o pseudonimie 'dead1nfluence' w repozytorium GitHub (Meatmeet-Pro-Vulnerabilities). Opis wskazuje na dodatkowe ryzyko związane z użyciem algorytmu MD5 do przesyłania danych uwierzytelniających podczas logowania.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:NMeatmeet
APPMeatmeet1.1.2.0
Powiązane podatności
Ujawnienie informacji o nieopublikowanych urządzeniach w aplikacji Meatmeet Android
Hardcoded credentials w aplikacji mobilnej Meatmeet
Meatmeet – transmisja danych w czystym tekście (HTTP), przechwycenie tokenów uwierzytelniania
The application uses an insecure hashing algorithm (MD5) to hash passwords. If an attacker obtained a copy of ...
The mobile application insecurely handles information stored within memory. By performing a memory dump on the...