Android OkCupid hatası verileri bilgisayar korsanlarına tamamen açık bıraktı
OkCupid'in Android kullanıcılarından, uygulamada bilgisayar korsanlarının kimlik bilgilerini çalmasına izin verebilecek güvenlik açıkları bulunduktan sonra uygulamayı güncellemeleri isteniyor.
İsrailli güvenlik firması Checkmarx'ten araştırmacılar, bilgisayar korsanlarının uygulamanın harici tarayıcılara bağımlılığından yararlandığını görebilecek bir istismar keşfettiklerinde alarma geçti.
OkCupid uygulaması diğer kullanıcılardan mesajlar aldığında, bunu uygulamada bulunan kendi tarayıcısı ile yapar. Uygulama, harici bir tarayıcıya giden çoğu bağlantıyı dış kaynaklardan alırken, araştırmacılar bir belirli bir dize ekleyerek uygulamayı kendi tarayıcısıyla açması için kandıran kötü amaçlı bağlantı URL. Uygulamada açıldıktan sonra, bir mesaj kullanıcının oturum açma ayrıntılarını girmesini ister.
İlişkili: En iyi arkadaşlık siteleri
Checkmarx’ın güvenlik araştırma başkanı Erez Yalon, "Şüphelenmeyen bir kullanıcının bunun OkCupid olmadığını bilmesinin hiçbir yolu yoktu, bunun yerine OkCupid'e benzeyen bir sayfa" dedi. Tüketici Raporları.
Elde edilen bu ayrıntılarla, bir siber suçlu, kimlik hırsızlığı, banka dolandırıcılığı veya taciz için flört hesaplarının sahip olduğu tüm verilerden - ad, e-posta adresi, konum vb. Bir saldırgan, kullanıcılar arasındaki mesajları bile yakalayabilir, özel mesajları okuyabilir ve konumlarını izleyebilir. “Kullanıcılar uygulamanın saldırıya uğradığını bilemezler ”dedi Yalon. "Her şey tamamen normal çalıştı, bu yüzden kullanmaya devam edeceklerdi."
Araştırmacılar özellikle alarma geçti, çünkü istismar kendi kendine çoğalabilirdi. bir OkCupid kullanıcısından tüm kişilerine otomatik olarak mesaj göndererek çok sayıda risk altındaki kullanıcılar.
İlişkili: En iyi ücretsiz antivirüs
İyi haber şu ki, en son sürümü çalıştırıyorsanız, zaten korunuyorsunuz. Checkmarx, 15 Kasım 2018'de OkCupid'e yönelik güvenlik açığını açıkladı ve 4 Ocak 2019'da bir düzeltme yayınlandı. Aynı istismar bir mobil tarayıcıda veya iOS sürümünde çalışmaz.
Uygulama kötü amaçlı yazılımıyla çıkarak endişeli misiniz? Twitter'da bize bildirin: @TrustedReviews.