Le vulnerabilità di sicurezza scoperta in la versione di Android del popolare applicazione per incontri online avrebbe potuto consentire agli hacker di accedere nomi utente, le password e le informazioni personali, secondo i ricercatori di sicurezza.
I difetti nella versione Android di OKCupid dating app – che il Google Play Store liste con oltre 10 milioni di download – sono stati scoperti dai ricercatori di sicurezza informatica azienda Checkmarx. I ricercatori hanno comunicato in precedenza exploit che potrebbero essere oggetto di abusi da parte di hacker in un altro dating app.
I ricercatori hanno scoperto che la WebView costruito nel browser contenute vulnerabilità che potrebbe essere sfruttata da malintenzionati.
Mentre la maggior parte dei link in app si aprirà nel browser dell’utente della scelta, i ricercatori hanno trovato è stato possibile simulare alcuni link che si aprono all’interno dell’applicazione.
“Uno di questi tipi di link è molto facile da imitare e un attaccante con anche competenze di base sarebbe in grado di fare questo e convincere OKCupid è un collegamento sicuro,” Erez Yalon, capo della sicurezza di applicazione e di ricerca presso Checkmarx detto a ZDNet.
Usando questo, i ricercatori hanno trovato che potrebbe creare una versione falsa di OKCupid pagina di login e, utilizzando un falso profilo, è possibile utilizzare l’applicazione di messaggistica del servizio di condurre un attacco di phishing che invita gli utenti a fare clic sul link
Gli utenti devono inserire i propri dati di login per visualizzare il contenuto del messaggio, consegnando loro le credenziali per l’attaccante. E perché il collegamento interno non visualizzare un URL, l’utente deve alcuna indicazione che avevano registrato in una falsa versione dell’applicazione.
Con il nome utente e la password della vittima del furto, l’utente malintenzionato potrebbe accedere al proprio account e vedere tutte le informazioni sul proprio profilo, potenzialmente in grado di identificare personalmente gli utenti. Data la natura intima di incontri applicazioni, che potrebbero includere informazioni di cui l’utente non desidera che di pubblico.
“Abbiamo potuto vedere non solo il nome e la password dell’utente e quali sono i messaggi che invia, ma di tutto: siamo in grado di seguire la loro posizione geografica, che rapporto stanno cercando, preferenze sessuali – di qualsiasi OKCupid ha su di voi, l’utente malintenzionato potrebbe ottenere su di voi”, ha detto Yalon.
Hanno scoperto che era possibile per un utente malintenzionato di combinare crafting link di phishing con API e funzioni JavaScript che era stato inavvertitamente lasciato a vista per gli utenti. Facendo questo, è possibile rimuovere la crittografia e il downgrade di connessione da HTTPS a HTTP – è consentito per un man-in-the-middle.
In questo modo, l’utente malintenzionato può vedere tutto ciò che l’utente stava facendo, impersonare la vittima, modificare i messaggi e anche tracciare la posizione geografica della vittima.
La società di sicurezza comunicati i risultati di OKCupid proprietari Match del Gruppo a novembre dell’anno scorso e un aggiornamento è stato implementato per chiudere la vulnerabilità poco dopo. Yalon lodato Match del Gruppo per essere “molto attenti”.
Un OKCupid portavoce ha detto a ZDNet “Checkmarx avvisato noi di una vulnerabilità di sicurezza in app per Android, che abbiamo patchato e risolto il problema. Abbiamo inoltre verificato che il problema non esiste nel mobile e iOS”
Checkmarx stress, non sono gli utenti sono stati sfruttati come parte della loro ricerca e anche se non è pensato che l’attacco è stato utilizzato in natura, Yalon ha sottolineato “si può dire – a causa del modo in cui è nascosto così bene.”
PER SAPERNE DI PIÙ SULLA CRIMINALITÀ INFORMATICA
Questo malware per Android che vuole rubare il vostro Facebook login e bombardano con annunci
Video: all’Interno di Bumble di hacking di fumble [TechRepublic]
Amazon Alexa potrebbe essere indotti a snooping utenti, dicono i ricercatori di sicurezza
Stalker uso di dating apps per raccogliere pericolo per le vittime [CNET]
Pieno di malware, phishing e truffe, il web ha bisogno di un manuale per la sicurezza?
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati