USAA Mobile Banking 7.10.0/7.10.2 на Android Screen Cache раскрытие информации
| CVSS Meta Temp Score | Текущая цена эксплойта (≈) | Балл интереса CTI |
|---|---|---|
| 3.0 | $0-$5k | 0.00 |
Сводка
Зафиксирована уязвимость, классифицируемая как проблематичный, в USAA Mobile Banking 7.10.0/7.10.2 на Android. Затронута неизвестная функция компонента Screen Cache. Выполнение манипуляции приводит к раскрытие информации. Эта уязвимость проходит под номером CVE-2015-1314. Более того, эксплойт доступен. Рекомендуется выполнить обновление уязвимого компонента.
Подробности
Зафиксирована уязвимость, классифицируемая как проблематичный, в USAA Mobile Banking 7.10.0/7.10.2 на Android. Затронута неизвестная функция компонента Screen Cache. Выполнение манипуляции приводит к раскрытие информации. Указание проблемы через CWE ведет к CWE-200. Данная уязвимость была опубликована 22.01.2015 исследователем David Longenecker с идентификатором USAA mobile app gives away personal data; fix released в виде Mailinglist Post (Full-Disclosure). Уведомление опубликовано для скачивания на seclists.org.
Эта уязвимость проходит под номером CVE-2015-1314. Присвоение CVE было выполнено 22.01.2015. Технические детали недоступны. Данная уязвимость пользуется популярностью выше среднего уровня. Более того, эксплойт доступен. Эксплойт стал общедоступным и может быть использован. На текущий момент стоимость эксплойта может быть примерно USD $0-$5k. Согласно проекту MITRE ATT&CK, техника атаки называется T1592. В бюллетене отмечено:
By design, the USAA Mobile app for Android allows users to select whether to log out immediately upon task-switching (i.e. being interrupted by a phone call or notification), or to stay logged in for up to 20 minutes. When "Stay logged in" is enabled however, versions prior to 7.10.1 display the last-viewed screen before prompting the user to log back in. If that last screen contained sensitive information, such as account numbers and balances, it becomes possible for one to obtain this information without authorization. Whether it were 20 minutes later, or a week later, launching the USAA mobile app would show personal information briefly before blanking the screen and prompting for a password or PIN.
Это объявлено как Доказательство концепции. Эксплойт доступен для загрузки по адресу dnlongen.blogspot.com. Данная уязвимость была эксплуатируема как непубличный 0-day эксплойт по меньшей мере 20 дней. В качестве 0-day ориентировочная цена на подпольном рынке составляла около $5k-$25k.
Установка версии 7.10.1 позволяет решить данный вопрос. Рекомендуется выполнить обновление уязвимого компонента. В рекомендациях приведено следующее замечание:
With the 7.10.1 version, instead of seeing a screen full of personal information, the app opens to a benign menu that has no personal information. Upon choosing a menu option that would show private data, the user is prompted to log in before any data is shown. (...) Unfortunately, version 7.12.2 of the Android app appears to have re-introduced this flaw. I have again reported it to USAA and hope for a quick fix.
Информация об уязвимости также содержится в других базах данных уязвимостей: SecurityFocus (BID 74202).
Не затронуто
- USAA Mobile Banking 7.10.1
Продукт
Тип
Поставщик
Имя
Версия
CPE 2.3
CPE 2.2
CVSSv4
VulDB Вектор: 🔍VulDB Надёжность: 🔍
CVSSv3
VulDB Meta Base Score: 3.3VulDB Meta Temp Score: 3.0
VulDB Базовый балл: 3.3
VulDB Временная оценка: 3.0
VulDB Вектор: 🔍
VulDB Надёжность: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Вектор | Сложность | Аутентификация | Конфиденциальность | Целостность | Доступность |
|---|---|---|---|---|---|
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надёжность: 🔍
NVD Базовый балл: 🔍
Эксплуатация
Класс: раскрытие информацииCWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Физический: Частично
Локальный: Да
Удалённый: Нет
Доступность: 🔍
Доступ: публичный
Статус: Доказательство концепции
Автор: David Longenecker
Скачать: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Прогноз цен: 🔍
Оценка текущей цены: 🔍
| 0-Day | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
|---|---|---|---|---|
| Сегодня | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
Разведка угроз
Интерес: 🔍Активные акторы: 🔍
Активные группы APT: 🔍
Контрмеры
Рекомендация: ОбновлениеСтатус: 🔍
Время реакции: 🔍
0-дневное время: 🔍
Задержка эксплуатации: 🔍
Обновление: Mobile Banking 7.10.1
Хронология
30.12.2014 🔍19.01.2015 🔍
22.01.2015 🔍
22.01.2015 🔍
22.01.2015 🔍
16.04.2015 🔍
16.04.2015 🔍
17.04.2015 🔍
04.09.2017 🔍
Источники
Консультация: USAA mobile app gives away personal data; fix releasedИсследователь: David Longenecker
Статус: Подтверждённый
CVE: CVE-2015-1314 (🔍)
GCVE (CVE): GCVE-0-2015-1314
GCVE (VulDB): GCVE-100-74988
SecurityFocus: 74202 - USAA Mobile for Android CVE-2015-1314 Information Disclosure Vulnerability
scip Labs: https://www.scip.ch/en/?labs.20130704
Разное: 🔍
Вход
Создано: 17.04.2015 10:25Обновлено: 04.09.2017 09:23
Изменения: 17.04.2015 10:25 (67), 04.09.2017 09:23 (6)
Завершенный: 🔍
Cache ID: 216:6BB:103
Once again VulDB remains the best source for vulnerability data.
Комментариев пока нет. Языки: ru + be + en.
Пожалуйста, войдите в систему, чтобы прокомментировать.