Chyba systému Android OkCupid nechala daters dokořán hackerům
Uživatelé Androidu OkCupid jsou vyzýváni k aktualizaci aplikace poté, co v aplikaci byly nalezeny bezpečnostní chyby, které by hackerům umožnily ukrást přihlašovací údaje.
Vědci z izraelské bezpečnostní firmy Checkmarx spustili poplach, když objevili zneužití, které umožnilo hackerům využívat závislost aplikace na externích prohlížečích.
Když aplikace OkCupid načte zprávy od ostatních uživatelů, provede to pomocí vlastního prohlížeče, který je součástí aplikace. Zatímco aplikace zadává většinu odkazů na externí prohlížeč, vědci zjistili, že je triviální vytvořit a škodlivý odkaz, který by přiměl aplikaci otevřít ji pomocí vlastního prohlížeče přidáním konkrétního řetězce do souboru URL. Po otevření v aplikaci by zpráva poté požádala uživatele, aby zadal své přihlašovací údaje.
Příbuzný: Nejlepší seznamovací weby
"Neexistoval absolutně žádný způsob, jak by nic netušící uživatel věděl, že to není OkCupid, ale místo toho stránka, která má vypadat jako OkCupid," řekl šéf bezpečnostního výzkumu společnosti Checkmarx Erez Yalon. Zprávy pro spotřebitele.
Po získání těchto podrobností by mohl počítačový zločinec využít veškerá data, která seznamovací účty obsahují - jméno, e-mailovou adresu, polohu atd. - pro krádež identity, bankovní podvody nebo pronásledování. Útočník by dokonce mohl zachytit zprávy mezi uživateli, číst soukromé zprávy a sledovat jejich polohu. “Uživatelé by nevěděli, že byla aplikace napadena, “řekl Yalon. "Všechno fungovalo úplně normálně, takže to budou dál používat."
Vědci byli obzvláště znepokojeni, protože exploit se mohl stát samorozmnožováním, automatické odesílání zpráv od jednoho uživatele OkCupid všem jeho kontaktům, což přináší obrovské množství ohrožených uživatelů.
Příbuzný: Nejlepší antivirus zdarma
Dobrou zprávou je, že pokud používáte nejnovější verzi, jste již chráněni. Společnost Checkmarx zveřejnila chybu zabezpečení společnosti OkCupid dne 15. listopadu 2018 a oprava byla zavedena 4. ledna 2019. Stejné zneužití nefunguje v mobilním prohlížeči ani ve verzi pro iOS.
Máte strach z datování malwaru aplikace? Dejte nám vědět na Twitteru: @TrustedReviews.