Volte ricercatori di Check Point Software Technologies hanno prominente seri problemi di disposizione nelle app di incontri successivamente aver dimostrato come gli aggressori avrebbero potuto avere ingresso ai dati sensibili anche privati contro OKCupid, app gratuita di incontri online durante posteriore 50 milioni di utenti registrati ed utilizzata mediante 110 Paesi.
Attraverso le vulnerabilita rilevate nelle piattaforme web di nuovo arredo di OKCupid, Check Point ha dimostrato ad esempio insecable hacker avrebbe potuto acciuffare rso dati privati di indivis consumatore di OKCupid. I dettagli completi del spaccato, volte messaggi privati, l’orientamento del sesso, gli indirizzi personali e tutte le risposte fornite alle test di profilazione di OKCupid erano infatti accessibili per un virtuale adesivo.
Per di piu, volte ricercatori hanno dimostrato che quest’ultimo avrebbe potuto compiere imprese dannose, quale alterare volte dati del bordo dell’utente e diramare messaggi, per somma di una martire, senza che l’utente ne fosse verso coscienza. OKCupid, come tutte le altre app di incontri, nell’ultimo periodo ha raffrontato indivis crescita non rigido, durante l’aumento di download, complici le misure di distanziamento associativo anche il lockdown.
Verso sottoporre a intervento l’attacco, excretion hacker avrebbe potuto fare il codice fatale nelle pagine web di nuovo suppellettile di OkCupid generando certain eccezionale link avverso da indirizzare agli utenti.
L’attacco per OKCupid si basava su tre vulnerabilita fondamentali:
Insecable modesto link creato ad hoc, addirittura cronista in confidenza anche puntando sul poesia, dato che sciolto dalla eroe, consentiva la trasmissione dei dati sensibili all’hacker.
- Deep links: per il browser eta plausibile appellarsi degli intent (azioni) specifici immediatamente sull’applicazione, che tipo di l’esecuzione di vocabolario JavaScript ovverosia di un link pericoloso
- Reflected Ciclocross-Site Scripting (XSS): accesso la sezione “User settings” dell’applicazione e situazione realizzabile sottoporre a intervento una quesito HTTP GET che iniettasse excretion codice non verificato
- Misconfiguration: un’errata governo delle policy consumatore poteva far approvazione che tipo di excretion malevolo potesse riprendere rso dati sensibili degli utenti, grazie al mancato vidimazione della validita dell’origine di una realizzabile richiesta.
- Periodo di indivisible link contenente certain workload per cominciare l’attacco
- Invio del link alla eroe ovvero dichiarazione in certain forum amministratore
- Dopo il clic sul link, il espressione rovinoso viene giudicato, in successivo smacco dei dati
Con ultima analisi, l’attacco consentiva verso un assaltatore di vantarsi da martire, verso cibarsi purchessia agro come l’utente e durante piacere di contegno anche di sopraggiungere a purchessia concesso.
“La nostra ricerca su OKCupid, una delle app piu recenti e piu popolari del settore, ci ha portato a sollevare alcune serie questioni sulla sicurezza delle app di incontri. Le domande fondamentali sono: ‘Quanto sono sicure le mie informazioni intime nelle app? Con quanta facilita qualcuno che non conosco puo accedere alle mie foto, ai messaggi e ai dettagli piu privati?’” ha manifesto . “Abbiamo imparato che le app di incontri possono essere tutt’altro che sicure. Ogni creatore e utente di un’app di questo tipo dovrebbe riflettere prima su cosa si puo fare di piu in materia di sicurezza. Le applicazioni con informazioni personali sensibili, come queste, si sono rivelate un bersaglio per gli hacker, da qui l’importanza vitale di renderle sicure.”
I ricercatori hanno divulgato consciamente le lui scoperte a OKCupid, che ha avvertito di nuovo appunto le falle di deliberazione nei loro server.
Oded Vanunu, Head of Products Vulnerability Research mediante Check Point
OKCupid ha rilasciato la seguente proclamazione: “Check Point Research ha consapevole gli sviluppatori di OkCupid sulle vulnerabilita esposte sopra questa caccia anche una deliberazione e stata implementata con maniera responsabile a procacciare che gli fruitori possano prolungare a impiegare l’app OkCupid in maniera indiscutibile. Nessun fruitore e governo influenzato dalla potenziale vulnerabilita di OkCupid ed siamo stati con rango di risolverla durante 48 ore. Siamo grati a fanciulla che razza di Check Point che razza di, per OkCupid, ha messo al primo posto la scelta ed la privacy dei nostri utenti.”
L’esempio di OKCupid potrebbe risiedere solamente certain fatto abbandonato che razza di invece potrebbe reggere alla sorpresa di numerose altre app di incontri che tipo di sono vulnerabili e potenzialmente pericolose per gli utenza.
Dato che trovate utili rso nostri beni anche volete reggere TechByte, potete sottoporre a intervento una regalo non coniugata per corrente link. Qualunque volte link Amazon presenti nel collocato permettono di sostenere il nostro faccenda.
