Как оказалось, популярное мобильное приложение, предназначенное для поиска материалов для инвестиционных исследований, работает без какой-либо криптозащиты, подвергая риску информацию о пользователе, в том числе его учетные данные и стратегию капиталовложений.

Приложение Seeking Alpha для Android и iOS также способно сливать данные, от куки HTTP до курса интересующих пользователя ценных бумаг. Его нельзя использовать для ведения торгов на бирже, однако исследователи из Rapid7, обнаружившие упущение, предупреждают, что находящийся в Wi-Fi-сети атакующий может, например, перехватить передаваемые открытым текстом юзернеймы и пароли и попытаться использовать их на другом ресурсе.

Проблему усугубляет отсутствие отклика от разработчиков Seeking Alpha. Исследователь Дерек Эбдайн (Derek Abdine) из Rapid7, обнаруживший уязвимость, пытался связаться с ними еще 3 мая, а в CERT отчет был направлен 19 мая. Тем не менее команда Seeking Alpha до сих пор молчит, не ответила она и на запрос Threatpost о комментарии. Тем временем на счету Android-версии Seeking Alpha, по статистике Google Play, уже числится от 500 тыс. до 1 млн загрузок.

«К счастью, это не торговая платформа вроде eTrade, на которой можно осуществлять сделки по купле-продаже, иначе катастрофа была бы неминуемой, — заявил Тод Бирдсли (Tod Beardsley), руководитель ИБ-исследований Rapid7. — Таким образом можно получить имя пользователя и пароль, что само по себе уже плохо. Опасность выше, если пользователь этого приложения склонен повторно использовать юзернеймы и пароли».

Атака на трафик приложения возможна из позиции «человек посередине» в беспроводной сети либо при наличии возможности как-то контролировать интернет-провайдера. «Атака в данном случае довольно проста, все равно как на обычное открытое соединение телефона с сетью [оператора], — пояснил Бирдсли. — Можно прикинуться оператором и создать собственную точку доступа».

Seeking Alpha использует HTTP при опросе биржевых кодов по списку пользователя; злоумышленник может этим воспользоваться, к примеру, для составления профиля потенциальной жертвы фишинговой атаки. По свидетельству Rapid7, протокол HTTP также используется в ходе ступенчатой аутентификации, когда приложение последовательно посылает email-адрес пользователя, его пароль и идентификатор сессии.

«Такую практику редко встретишь в наши дни, — сетует Бирдсли. — После откровений Сноудена большинство крупных сайтов перешли на дефолтный HTTPS, а такие технологии, как закрепление сертификатов, помогают повысить безопасность и обеспечить шифрование везде, где только возможно. Когда обнаруживаешь, что ничего этого нет, только диву даешься. В идеале хотелось бы, чтобы в таких случаях комплект разработчика (от Google или Apple) выбрасывал флаг».

Еще более поразителен тот факт, что сайт Seeking Alpha перенаправляет отправленные по HTTPS запросы браузера на HTTP-клон, а не наоборот, как следовало бы. Аналогичная практика наблюдается и в процессе аутентификации. В Rapid7 даже шутят, что пристрастие к HTTP в ущерб шифрованию красной нитью проходит через всю техническую концепцию Seeking Alpha.

«Здесь все шиворот-навыворот, — говорит Бирдсли. — И приложение, и сайт упорствуют в своем странном неприятии шифрования, а до операторов сайта невозможно достучаться. Вполне возможно, что они просто не в курсе. Остается призвать на помощь пользователей, известив их о проблеме, чтобы они смогли принять собственное решение».

Пока нет патча, единственным выходом является полный отказ от использования Seeking Alpha или подключение через VPN-сеть. В последнем случае, предупреждают исследователи, защита будет предоставлена лишь до конечной точки VPN.

Категории: Аналитика, Главное, Уязвимости