Android OkCupid kļūda atstāja daterus plaši atvērtiem hakeriem
OkCupid Android lietotāji tiek mudināti atjaunināt lietotni pēc tam, kad lietotnē tika atrasti drošības trūkumi, kas varētu ļaut hakeriem nozagt akreditācijas datus.
Izraēlas drošības firmas Checkmarx pētnieki atskanēja trauksmes signāls, kad viņi atklāja ekspluatāciju, kurā hakeri varēja redzēt lietotnes paļāvību uz ārējiem pārlūkiem.
Kad lietotne OkCupid ielādē ziņojumus no citiem lietotājiem, tā to dara, izmantojot savu pārlūkprogrammu, kas atrodas lietotnē. Kaut arī lietotne visvairāk izmanto saites uz ārēju pārlūku, pētnieki uzskatīja, ka ir mazsvarīgi izveidot ļaunprātīga saite, kas maldinātu lietotni atvērt to ar savu pārlūku, pievienojot programmai īpašu virkni URL. Pēc atvēršanas lietotnē ziņojumā lietotājam tiks lūgts ievadīt informāciju par pieteikšanos.
Saistīts: Labākās iepazīšanās vietnes
"Nenojaušam lietotājam nebija pilnīgi nekādas iespējas uzzināt, ka tas nav OkCupid, bet tā vietā ir izveidota lapa, kas izskatās kā OkCupid," sacīja Checkmarx drošības pētījumu vadītājs Erezs Jalon. Patērētāju ziņojumi.
Ar iegūto informāciju kibernoziedznieks varētu izmantot visus datus, kas ir randiņu kontos - vārds, e-pasta adrese, atrašanās vieta un tā tālāk - identitātes zādzību, bankas krāpšanas vai vajāšanas dēļ. Uzbrucējs pat varēja pārtvert ziņojumus starp lietotājiem, lasot privātos ziņojumus un izsekojot viņu atrašanās vietai. “Lietotāji nezinātu, ka lietojumprogrammai ir uzbrukts, ”sacīja Jalon. "Viss strādāja pilnīgi normāli, tāpēc viņi turpināja to izmantot."
Pētnieki bija īpaši nobažījušies, jo ekspluatācija varēja kļūt pašplatīga, automātiski nosūtīt ziņojumus no viena OkCupid lietotāja visiem viņu kontaktiem, ievietojot milzīgu skaitu riska grupas lietotāji.
Saistīts: Labākais bezmaksas antivīruss
Labā ziņa ir tā, ka, ja izmantojat jaunāko versiju, jūs jau esat aizsargāts. Checkmarx 2018. gada 15. novembrī atklāja OkCupid ievainojamību, un labojums tika ieviests 2019. gada 4. janvārī. Tas pats izmantojums nedarbojas mobilajā pārlūkprogrammā vai iOS versijā.
Vai jūs uztrauc iepazīšanās lietotņu ļaunprogrammatūra? Paziņojiet mums vietnē Twitter: @ TrustedReviews.