Chyba systému Android OkCupid ponechala daters dokorán hackerom
Používatelia systému Android OkCupid sú vyzvaní, aby aktualizovali aplikáciu po zistení bezpečnostných chýb v aplikácii, ktoré by hackerom umožnili odcudziť prihlasovacie údaje.
Vedci z izraelskej bezpečnostnej firmy Checkmarx spustili poplach, keď objavili zneužitie, pri ktorom hackeri mohli využiť závislosť aplikácie od externých prehľadávačov.
Keď aplikácia OkCupid načítava správy od ostatných používateľov, robí to pomocou vlastného prehliadača, ktorý je súčasťou aplikácie. Zatiaľ čo aplikácia zadáva väčšinu odkazov na externý prehliadač, vedci zistili, že je jednoduché vytvoriť škodlivý odkaz, ktorý by oklamal aplikáciu, aby ju otvorila pomocou vlastného prehľadávača, a to pridaním konkrétneho reťazca do URL. Po otvorení v aplikácii by správa potom požiadala používateľa o zadanie prihlasovacích údajov.
Súvisiace: Najlepšie zoznamovacie weby
"Pre nič netušiaceho používateľa neexistoval žiadny spôsob, ako vedieť, že to nebol OkCupid, ale stránka, ktorá má vyzerať ako OkCupid," uviedol šéf bezpečnostného výskumu spoločnosti Checkmarx Erez Yalon. Správy pre spotrebiteľa.
Po získaní týchto podrobností môže počítačový zločinec využiť všetky údaje, ktoré zoznamovacie účty obsahujú - meno, e-mailovú adresu, polohu atď., Na krádež identity, bankové podvody alebo prenasledovanie. Útočník by mohol dokonca odpočúvať správy medzi používateľmi, čítať súkromné správy a sledovať ich polohu. “Používatelia by nevedeli, že k napadnutiu aplikácie došlo, “uviedol Yalon. "Všetko fungovalo úplne normálne, takže ho budú používať aj naďalej."
Vedci boli obzvlášť znepokojení, pretože exploit sa mohol stať rozmnožovacím prostriedkom, automatické odosielanie správ od jedného používateľa OkCupid všetkým jeho kontaktom, čo predstavuje obrovské množstvo rizikových používateľov.
Súvisiace: Najlepšie antivírus zadarmo
Dobrá správa je, že ak používate najnovšiu verziu, ste už chránení. Spoločnosť Checkmarx zverejnila zraniteľnosť voči spoločnosti OkCupid 15. novembra 2018 a oprava bola uvedená 4. januára 2019. Rovnaké zneužitie nefunguje v mobilnom prehliadači ani vo verzii pre iOS.
Máte obavy z randenia s malvérom aplikácií? Dajte nám vedieť na Twitteri: @TrustedReviews.