Insights into the (In)Security of Mobile Trading Apps

IOActive Labs Research 近期作了一番针对 trading
app 的测试, 结果发现如下漏洞:

密码明文储存

  • XML configuration file

HTTP

  • 利用 HTTP 传送数据

Log

  • 修改密码时,新密码会被打印在 Log 中
  • Trading Information 被打印在 Log 中 (NIN:作者话某只股票被泄露的话, 投机分子就可以趁机买入该股票获利, 或者关注 watchlist 中的股票)

Sensitive Information leakage

  • Quote被存放在 SQLite
  • Data masking

Session Management

  • Logout后, session 依然有效

XSS

  • 植入 form 盗取用户信息

Source Code

  • Hard-code credentials(Password, Encryption Key)
  • 代码没有混淆

IDOR

Root Detection

Ref

IOActive Labs Research: Are You Trading Securely? Insights into the (In)Security of Mobile Trading Apps

Show Comments