No está bien, Cupido: las fallas de seguridad podrían exponer los datos del usuario y más


Los investigadores encontraron una serie de vulnerabilidades que podrían dar acceso a los atacantes a un tesoro de información de identificación personalized sobre los miembros.

«data-credit =» Imagen: Aladino Gonzalez, Getty Images / iStockphoto «rel =» noopener noreferrer nofollow «>Lanzar una flor con un arco

Imagen: Aladino González, Getty Illustrations or photos / iStockphoto

La investigación de Check out Place Program ha descubierto una serie de vulnerabilidades en el sitio website y la aplicación móvil Ok Cupid del servicio de citas en línea que podrían permitir a los atacantes no solo robar datos personales, sino también tomar medidas en nombre del usuario.

VER: Seguridad de confianza cero: una hoja de trucos (PDF gratuito) (TechRepublic)

Las vulnerabilidades en OKCupid que descubrió Examine Point permitir que un atacante potencial haga cinco cosas:

  • Exponer los datos del usuario almacenados en la aplicación móvil OKCupid
  • Realizar acciones en nombre de la víctima.
  • Robar perfiles de usuario, datos privados, preferencias y características personales.
  • Roba tokens de autenticación de usuario, ID de usuario, direcciones de correo electrónico y otra información confidencial de la cuenta
  • Enviar todos los datos expuestos al servidor de un atacante

«Demostramos que los detalles privados, los mensajes y las fotos de los usuarios podían ser accedidos y manipulados por un pirata informático, por lo que cada desarrollador y usuario de una aplicación de citas debería hacer una pausa para reflexionar sobre los niveles de seguridad en torno a los detalles íntimos e imágenes que alojan y compartir en estas plataformas «, dijo Oded Vanunu, jefe de investigación de vulnerabilidad de productos en Test Place.

La anatomía de una diana de ciberseguridad

Los investigadores de Examine Level utilizaron varios exploits comunes para lograr sus resultados, que diferían entre la aplicación móvil OKCupid y el sitio world wide web.

La aplicación móvil OKCupid hace un uso extensivo de los enlaces profundos, lo que implica enviar a un usuario directamente a una página vinculada internamente sin que se den cuenta. Es una excelente manera de ayudar a los usuarios a navegar por una aplicación website, pero es fácilmente explotable.

VER: Política de mejores prácticas del certificado SSL (TechRepublic Quality)

En el caso de la aplicación móvil OKC, un atacante puede utilizar enlaces profundos maliciosos que utilizan el esquema personalizado de OKCupid para engañar a la aplicación para que envíe el enlace junto con las cookies del usuario. Los probadores de Check out Level pudieron abrir una ventana del navegador webview dentro de la aplicación con JavaScript habilitado.

La aplicación móvil también es vulnerable a los ataques de scripts de sitios cruzados (XSS) reflejados, lo que permite a un atacante inyectar su propio código en el enlace que recupera la configuración del perfil del usuario. Esto sirve como la segunda parte del ataque: después de abrir un navegador webview con JavaScript ejecutándose e inyectando código XSS, el atacante puede pasar a cargar JavaScript desde su propio servidor.

La carga útil que construyó Verify Place, como se mencionó anteriormente, fue capaz de robar tokens de autenticación, identificaciones de usuario e información de identificación private como direcciones de correo electrónico, datos de perfil, preguntas respondidas durante el registro, preferencias del sitio y de la aplicación, y más.

Esos datos personales «no son solo de interés para posibles parejas amorosas. También son muy apreciados por los piratas informáticos, ya que son el &#39estándar de oro&#39 de la información, ya sea para usar en ataques dirigidos o para vender a otros grupos de piratería, ya que permiten que los intentos de ataque sean muy convincentes para objetivos desprevenidos «, dijo Check Point en su informe.

Verify Position concluye que su investigación resalta riesgos serios al usar incluso las aplicaciones más establecidas y populares en un mercado como las citas en línea: a pesar de haber existido durante años, OKCupid todavía ignoraba elementos esenciales de la privacidad y seguridad del usuario.

«La extrema necesidad de privacidad y seguridad de datos se vuelve mucho más important cuando se almacena, administra y analiza tanta información privada e íntima en una aplicación», dice el informe.

Afortunadamente para los usuarios de OKCupid, el sitio de citas confirmó que Verify Position había compartido la información con ellos antes de que alguien hubiera sido víctima de un ataque very similar, y que había solucionado los problemas dentro de las 48 horas posteriores a la notificación.

«Agradecemos a socios como Test Stage que, con OkCupid, anteponen la seguridad y la privacidad de nuestros usuarios», dijo OKCupid en un comunicado.

Ver también



Enlace a la noticia authentic