Upptäckta säkerhetshål i Android-versionen av en populär online-dating ansökan kunde ha det möjligt för hackare att få tillgång till användarnamn, lösenord och personlig information enligt säkerhetsforskare.
Brister i Android-versionen av OKCupid dejting app – som Google Play Store listar som har över 10 miljoner nedladdningar – var upptäckts av forskare vid it-säkerhetsföretaget Checkmarx. Forskarna har tidigare lämnat utnyttjar, vilket kunde utnyttjas av hackare i en annan dejting app.
Forskarna fann att WebView inbyggd webbläsare som finns säkerhetsproblem som kan utnyttjas av angripare.
Medan de flesta länkar i appen öppnas i användarens webbläsare att välja, forskare fann att det var möjligt att efterlikna vissa länkar som öppnas i programmet.
“En av dessa typer av länkar var mycket lätt att härma och en angripare med ens grundläggande kunskaper skulle kunna göra detta och övertyga OKCupid det är en säker länk,” Erez Yalon, chef för application security research på Checkmarx berättade ZDNet.
Med hjälp av detta, fann forskarna att de kan skapa en falsk version av OKCupid inloggningssidan och med hjälp av en falsk profil, använda appen messaging service för att göra en phishing-attack som inbjuder riktade användare att klicka på länken
Användarna skulle behöva att skriva in sina inloggningsuppgifter för att se innehållet i meddelandet, att överlämna sina kreditivbrev till angriparen. Och eftersom den interna länken inte visa en URL, skulle användaren har inga uppgifter om att de hade loggat in på en falsk version av programmet.
Med användarnamn och lösenord för offret stulen, angriparen kan logga in på sitt konto och se all information på sin profil, potentiellt personligt identifiera användare. Med tanke på den intima karaktär av dating program, som kan innehålla information som användarna vill inte offentliga.
“Vi kan inte bara se de namn och lösenord för användaren och vilka meddelanden de skickar, men allt: vi kan följa deras geografiska läge, vilken relation de letar efter, sexuella preferenser – oavsett OKCupid har på dig, angriparen kan få på dig,” sade Yalon.
De fann också att det var möjligt för en angripare att kombinera crafting phishing-länkar med API-och JavaScript-funktioner som hade varit vänster oavsiktligt utsätts för användare. Genom att göra detta är det möjligt att ta bort kryptering och nedgradera-anslutning från en HTTPS-HTTP – det tillåtet för en man-in-the-middle-attack.
Genom att göra detta, angriparen kan se allt som användaren gör, utge dig för att vara brottsoffret, ändra meddelanden och även spåra den geografiska placeringen av offret.
Den säkerhet som bolaget redovisas resultaten för att OKCupid ägare Match-Koncernen i November förra året och en uppdatering rullades ut för att stänga sårbarheter strax efteråt. Yalon beröm Match för att vara “mycket lyhörd”.
En OKCupid talesperson berättade ZDNet “Checkmarx larmade oss av ett säkerhetshål i Android-appen, som vi lappat och löst problemet. Vi har också kontrollerat att frågan inte fanns på mobil och iOS också,”
Checkmarx betona att inga riktiga användare utnyttjades som en del av sin forskning och även om det inte är tänkt att attacken har använts i det vilda, Yalon påpekade att “vi kan inte riktigt säga – på grund av hur det är dolt så väl.”
LÄS MER OM IT-RELATERAD BROTTSLIGHET
Denna Android-malware vill stjäla din Facebook-inloggning och bombardera dig med annonser
Video: I Bumble dataintrång fumla [TechRepublic]
Amazon ‘ s Alexa kunde luras till att spionera på användarna, säger säkerhetsforskare
Stalkers använda dejting-appar till crowdsource fara för offer [MAG]
Fylld med malware, phishing och bedrägerier, gör webben behöver en säkerhetsanvisning?
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter