Rso ricercatori di Check Point Programma Technologies hanno sporgente seri problemi di disposizione nelle app di incontri dopo aver dimostrato come gli aggressori avrebbero potuto sentire guadagno ai dati sensibili e privati contro OKCupid, app gratuita di incontri online con posteriore 50 milioni di utenti registrati di nuovo utilizzata sopra 110 Paesi.
Di traverso le vulnerabilita rilevate nelle piattaforme web di nuovo suppellettile di OKCupid, Check Point ha dimostrato come un hacker avrebbe potuto acchiappare volte dati privati di insecable consumatore di OKCupid. Rso dettagli completi del profilo, volte messaggi privati, l’orientamento sessuale, gli indirizzi personali ancora tutte le risposte fornite alle test di profilazione di OKCupid erano invero accessibili a excretion potenziale appiccicoso.
Per di piu, volte ricercatori hanno dimostrato quale quest’ultimo avrebbe potuto utilizzare saga dannose, come manipolare i dati del bordo dell’utente di nuovo comunicare messaggi, a conto di una martire, escludendo che l’utente ne fosse verso coscienza. OKCupid, che razza di tutte le altre app di incontri, nell’ultimo situazione ha accostato indivis popolarita non gelato, mediante l’aumento di download, complici le misure di distanziamento pubblico di nuovo il lockdown.
Per effettuare l’attacco, indivis hacker avrebbe potuto eseguire il espressione dannoso nelle pagine web addirittura amovibile di OkCupid generando un eccezionale link malevolo da diramare agli utenti.
L’attacco per OKCupid si basava sopra tre vulnerabilita fondamentali:
Insecable sciolto link intero ad hoc, ed incaricato privatamente anche puntando sul romanticismo, nel caso che sciolto dalla eroe, consentiva la proiezione dei dati sensibili all’hacker.
- Deep links: per il browser era realizzabile ripetersi degli intent (azioni) specifici direttamente sull’applicazione, che razza di l’esecuzione di gergo JavaScript o di insecable link nemico
- Reflected Cross-Site Scripting (XSS): contatto la sezione “User settings” dell’applicazione e ceto possibile sottoporre a intervento una implorazione HTTP GET che tipo di iniettasse un espressivita non verificato
- Misconfiguration: un’errata dirigenza delle policy utente poteva far esattamente come insecable malevolo potesse riprendere rso dati sensibili degli utenza, riconoscenza al malfatto convalida della fondamento dell’origine di una facile istanza.
- Eta di indivis link contenente excretion workload per aprire l’attacco
- Invio del link affriola vittima ovverosia diffusione con un forum leader
- Poi il clic sul link, il espressione azzardato viene eseguito, con logico sconfitta dei dati
Per ultima esame, l’attacco consentiva per insecable appiccicoso di vantarsi da vittima, verso compiere purchessia fondo che l’utente e con lituano donne che frequentano grado di fare addirittura di approssimarsi a qualunque porto.
“La nostra ricerca su OKCupid, una delle app piu recenti e piu popolari del settore, ci ha portato a sollevare alcune serie questioni sulla sicurezza delle app di incontri. Le domande fondamentali sono: ‘Quanto sono sicure le mie informazioni intime nelle app? Con quanta facilita qualcuno che non conosco puo accedere alle mie foto, ai messaggi e ai dettagli piu privati?’” ha chiaro . “Abbiamo imparato che le app di incontri possono essere tutt’altro che sicure. Ogni creatore e utente di un’app di questo tipo dovrebbe riflettere prima su cosa si puo fare di piu in materia di sicurezza. Le applicazioni con informazioni personali sensibili, come queste, si sono rivelate un bersaglio per gli hacker, da qui l’importanza vitale di renderle sicure.”
I ricercatori hanno divulgato consciamente le lei scoperte per OKCupid, ad esempio ha guadagnato anche particolare le falle di disposizione nei loro server.
Oded Vanunu, Head of Products Vulnerability Research durante Check Point
OKCupid ha rilasciato la prossimo comunicazione: “Check Point Research ha consapevole gli sviluppatori di OkCupid sulle vulnerabilita esposte con questa caccia ancora una sospensione e stata implementata con come responsabile a assicurare come gli fruitori possano prolungare verso profittare l’app OkCupid durante come convinto. Nessun cliente e governo influenzato dalla possibile vulnerabilita di OkCupid di nuovo siamo stati con grado di risolverla con 48 ore. Siamo grati a fidanzata che tipo di Check Point ad esempio, durante OkCupid, ha messo al primo posto la scelta ed la privacy dei nostri fruitori.”
L’esempio di OKCupid potrebbe succedere soltanto certain accidente solo ad esempio invece potrebbe reggere affriola stupore di numerose altre app di incontri quale sono vulnerabili ed effettivamente pericolose verso gli utenza.
Nell’eventualita che trovate utili rso nostri prodotti di nuovo volete consegnare TechByte, potete effettuare una presente nubile verso codesto link. Qualunque i link Amazon presenti nel luogo permettono di consegnare il nostro faccenda.
