Android OkCupid-bug liet daters wijd openstaan ​​voor hackers

Android-gebruikers van OkCupid worden aangespoord om de app bij te werken nadat beveiligingsfouten in de app zijn gevonden waardoor hackers inloggegevens kunnen stelen.

Onderzoekers van het Israëlische beveiligingsbedrijf Checkmarx sloegen alarm toen ze een exploit ontdekten waardoor hackers konden profiteren van de afhankelijkheid van de app van externe browsers.

Wanneer de OkCupid-app berichten van andere gebruikers ophaalt, doet het dit met zijn eigen browser die in de app is gebundeld. Hoewel de app de meeste links naar een externe browser uitbesteedt, vonden de onderzoekers het triviaal om een kwaadaardige link die de app zou misleiden om deze met zijn eigen browser te openen, door een specifieke string toe te voegen aan de URL. Eenmaal geopend in de app, zou een bericht de gebruiker vragen om zijn inloggegevens in te voeren.

Verwant: Beste datingsites

"Er was absoluut geen manier voor een nietsvermoedende gebruiker om te weten dat dit niet OkCupid was, maar in plaats daarvan een pagina gemaakt om eruit te zien als OkCupid," vertelde Checkmarx 'hoofd beveiligingsonderzoek, Erez Yalon,

Rapporten van de consument.

Met die gegevens kan een cybercrimineel profiteren van alle gegevens die datingaccounts bevatten - naam, e-mailadres, locatie enzovoort - voor identiteitsdiefstal, bankfraude of stalken. Een aanvaller kan zelfs berichten tussen gebruikers onderscheppen, privéberichten lezen en hun locatie volgen. “Gebruikers zouden niet weten dat de applicatie was aangevallen, 'zei Yalon. "Alles werkte volledig normaal, dus ze bleven het gebruiken."

De onderzoekers waren vooral gealarmeerd, omdat het misbruik zichzelf had kunnen voortplanten, automatisch berichten verzenden van één OkCupid-gebruiker naar al hun contacten, waardoor een groot aantal gebruikers die risico lopen.

Verwant: Beste gratis antivirusprogramma

Het goede nieuws is dat als u de nieuwste versie gebruikt, u al beschermd bent. Checkmarx heeft de kwetsbaarheid voor OkCupid op 15 november 2018 bekendgemaakt en op 4 januari 2019 is een oplossing uitgerold. Dezelfde exploit werkt niet in een mobiele browser of de iOS-versie.

Maakt u zich zorgen over de malware van datingapps? Laat het ons weten op Twitter: @TrustedReviews.