Beveiliging kwetsbaarheden ontdekt in de Android-versie van een populaire online dating applicatie kunnen hackers in staat stellen om toegang te krijgen tot gebruikersnamen, wachtwoorden en persoonlijke informatie volgens de onderzoekers van de veiligheid.
De gebreken in de Android-versie van de OKCupid dating app – die de Google Play Store geeft als het hebben van meer dan 10 miljoen downloads – werden ontdekt door onderzoekers van de cyber security bedrijf Checkmarx. De onderzoekers hebben eerder bekendgemaakt exploits die kunnen misbruikt worden door hackers in een andere dating app.
De onderzoekers ontdekten dat de WebView gebouwd in browser bevatte zwakke punten die kunnen worden uitgebuit door kwaadwillenden.
Hoewel de meeste links in de app wordt geopend in de browser van de gebruiker van de keuze, vonden de onderzoekers was het mogelijk na te bootsen bepaalde links die openen in de toepassing.
“Een van deze vormen van links was zeer gemakkelijk na te bootsen en een aanvaller met zelfs basisvaardigheden in staat zou zijn om dit te doen en te overtuigen van OKCupid het is een veilige koppeling,” Erez Yalon, hoofd van de beveiliging van applicaties onderzoek op Checkmarx vertelde ZDNet.
Met behulp van deze onderzoekers vonden ze het kunnen maken van een nep-versie van de OKCupid login pagina en het gebruik van een valse profiel, gebruik de app berichten service voor het uitvoeren van een phishing-aanval die nodigt de beoogde gebruikers, klik op de link
Moeten gebruikers in staat om hun inloggegevens in om de inhoud van de boodschap is, en dat zij hun referenties aan de aanvaller. En omdat de interne link niet wordt weergegeven een URL de gebruiker zou geen indicatie dat ze nog vastgelegd in een nep-versie van de applicatie.
Met de gebruikersnaam en het wachtwoord van het slachtoffer gestolen, de aanvaller kan inloggen op hun account en zie alle informatie op hun profiel, potentieel persoonlijk identificeren van gebruikers. Gezien de intieme aard van dating applicaties, die kan bestaan uit informatie van de gebruikers zou niet willen dat het openbaar.
“We konden zien dat niet alleen de naam en het wachtwoord van de gebruiker is en wat de berichten die ze sturen, maar alles: we kunnen volgen wat hun geografische locatie, wat de relatie die zij naar op zoek bent, seksuele voorkeuren – wat OKCupid heeft op u, de aanvaller kan krijgen op je,” zei Yalon.
Ze vonden het ook mogelijk voor een aanvaller om te combineren met het vervaardigen van phishing koppelingen met API-en JavaScript-functies die was per ongeluk blootgesteld aan gebruikers. Door dit te doen, is het mogelijk om codering te verwijderen en downgrade van de verbinding van een HTTPS-HTTP – het is toegestaan voor een man-in-the-middle-aanval.
Door dit te doen, de aanvaller kon zien dat alles wat de gebruiker aan het doen was, de identiteit van het slachtoffer, berichten wijzigen en zelfs het bijhouden van de geografische locatie van het slachtoffer.
De beveiliging bedrijf bekend de bevindingen te OKCupid eigenaren Wedstrijd Groep in November vorig jaar en een update is uitgerold te sluiten van de kwetsbaarheden kort daarna. Yalon geprezen Wedstrijd Groep voor zijn “diensten”.
Een OKCupid woordvoerder vertelde ZDNet “Checkmarx gewaarschuwd ons van een beveiligingslek in de Android-app, die we opgelapt en het probleem is opgelost. We controleren ook dat het probleem niet bestond op het mobile en iOS,”
Checkmarx benadrukken dat het geen echte gebruikers werden uitgebuit als onderdeel van hun onderzoek en terwijl hij er niet aan gedacht dat de aanval is gebruikt in het wild, Yalon gewezen “we kunnen niet echt zeggen – vanwege de manier waarop het is zo goed verstopt.”
LEES MEER OVER CYBER CRIME
Deze Android-malware wil stelen van uw Facebook-login en je bombarderen met advertenties
Video: In Bumble ‘ s hacking morrelen [TechRepublic]
Amazon ‘ s Alexa zou kunnen worden misleid in het snuffelen op de gebruikers, zeggen de onderzoekers van de veiligheid
Stalkers gebruiken dating apps te crowdsourcen gevaar voor de slachtoffers [CNET]
Gevuld met malware, phishing en oplichting, heeft het web moet een safety manual?
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters