Le bogue Android OkCupid a laissé les dateurs largement ouverts aux pirates

Les utilisateurs d'Android d'OkCupid sont invités à mettre à jour l'application après la découverte de failles de sécurité dans l'application qui pourraient permettre aux pirates de voler des informations d'identification.

Les chercheurs de la société de sécurité israélienne Checkmarx ont tiré la sonnette d'alarme lorsqu'ils ont découvert un exploit qui pourrait voir des pirates informatiques profiter de la dépendance de l'application à des navigateurs externes.

Lorsque l'application OkCupid récupère les messages d'autres utilisateurs, elle le fait avec son propre navigateur intégré dans l'application. Bien que l'application externalise la plupart des liens vers un navigateur externe, les chercheurs ont trouvé qu'il était trivial de créer un lien malveillant qui inciterait l'application à l'ouvrir avec son propre navigateur, en ajoutant une chaîne spécifique au URL. Une fois ouvert dans l'application, un message demandait alors à l'utilisateur de saisir ses informations de connexion.

En rapport: Meilleurs sites de rencontres

"Il n'y avait absolument aucun moyen pour un utilisateur sans méfiance de savoir que ce n'était pas OkCupid, mais plutôt une page conçue pour ressembler à OkCupid", a déclaré Erez Yalon, responsable de la recherche en sécurité chez Checkmarx. Les rapports des consommateurs.

Une fois ces détails obtenus, un cybercriminel pourrait tirer parti de toutes les données détenues par les comptes de rencontres - nom, adresse e-mail, emplacement, etc. - pour le vol d'identité, la fraude bancaire ou le harcèlement criminel. Un attaquant pourrait même intercepter des messages entre utilisateurs, lire des messages privés et suivre leur emplacement. “Les utilisateurs ne sauraient pas que l'application a été attaquée », a déclaré Yalon. "Tout fonctionnait parfaitement normalement, donc ils continueraient à l'utiliser."

Les chercheurs étaient particulièrement alarmés, car l'exploit aurait pu s'auto-propager, envoyer automatiquement des messages d'un utilisateur OkCupid à tous ses contacts, mettant un grand nombre de utilisateurs à risque.

En rapport: Meilleur antivirus gratuit

La bonne nouvelle est que si vous utilisez la dernière version, vous êtes déjà protégé. Checkmarx a révélé la vulnérabilité d'OkCupid le 15 novembre 2018 et un correctif a été déployé le 4 janvier 2019. Le même exploit ne fonctionne pas dans un navigateur mobile ou dans la version iOS.

Êtes-vous préoccupé par les logiciels malveillants des applications de rencontres? Faites-nous savoir sur Twitter: @TrustedReviews.