Sikkerhed sårbarheder er opdaget i Android-version af en populær online dating program kunne gøre det muligt for hackere at få adgang til brugernavne, adgangskoder og personlige oplysninger i henhold til sikkerhed forskere.
Fejl i Android-versionen af OKCupid dating app, som Google Play Butik lister, som har over 10 millioner downloads – var blevet opdaget af forskere ved cyber security firma Checkmarx. Forskerne har tidligere fremlagt bedrifter, som kunne misbruges af hackere i et andet dating app.
Forskerne fandt, at de WebView indbyggede browser, der er indeholdt sårbarheder, som kan udnyttes af hackere.
Mens de fleste links i app ‘ en åbner i brugerens browser valg, fandt forskerne, at det var muligt at efterligne visse links, som er åbne i programmet.
“En af disse typer af links, som var meget let at efterligne og en angriber med selv grundlæggende færdigheder, som ville være i stand til at gøre dette, og overbevise OKCupid det er et sikkert link,” Erez Yalon, leder af ansøgning forskning i sikkerhed på Checkmarx fortalte ZDNet.
Ved hjælp af denne, fandt forskerne, at de kunne skabe en falsk version af OKCupid login-side, og ved hjælp af en falsk profil, skal du bruge app ‘ s messaging service til at foretage en phishing-angreb, som opfordrer de målrettede brugere til at klikke på linket
Brugere vil skulle angive deres login-oplysninger for at se indholdet af beskeden, du afleverer deres akkreditiver til angriberen. Og fordi den interne link ikke vises en WEBADRESSE, ville brugeren har ingen indikation af, at de ville logget ind på en falsk version af programmet.
Med det brugernavn og kodeord, af det offer stjålet, angriberen kunne logge ind på deres konto, og se alle de oplysninger på deres profil, potentielt personligt identificerende brugere. I betragtning af den intime karakter af dating-programmer, der kunne indeholde oplysninger, som brugerne ikke ønsker, at offentligheden.
“Vi kunne se, at ikke kun navnet og adgangskoden for den bruger, og hvilke budskaber, de sender, men alt vi kan følge deres geografiske placering, hvilke forhold, de leder efter, seksuelle præferencer – hvad OKCupid har på dig, angriberen kunne få på dig,” sagde Yalon.
De fandt det også var muligt for en hacker at kombinere crafting phishing-links med API-og JavaScript-funktioner, som var blevet utilsigtet efterlades udsat for brugere. Ved at gøre dette er det muligt at fjerne kryptering og nedgradere forbindelsen fra HTTPS til HTTP – er det tilladt for en mand-in-the-middle-angreb.
Ved at gøre denne, angriberen kunne se alt, hvad brugeren gør, udgive dig for offeret, ændre meddelelser – og endda spore den geografiske placering af offeret.
Den sikkerhed, virksomheden fremlagt resultater til OKCupid ejere Match Gruppe i November sidste år og en ny opdatering blev rullet ud for at lukke den sårbarheder kort tid efter. Yalon rost matchgruppe for at være “meget lydhøre”.
En OKCupid talsmand fortalte ZDNet “Checkmarx advaret os om en sikkerhedsbrist i Android app, som vi lappet og løst problemet. Vi har også tjekket, at problemet ikke eksisterer på mobile og iOS samt,”
Checkmarx understrege, at der ikke rigtig brugere blev udnyttet som en del af deres forsknings-og selv om det ikke er tanken, at angrebet har været anvendt i naturen, Yalon påpegede, at “vi kan ikke rigtig fortælle – på grund af den måde den er skjult så godt.”
LÆS MERE OM IT-KRIMINALITET
Denne Android-malware ønsker at stjæle dine Facebook login og bombardere dig med reklamer
Video: Inde Bumble ‘ s hacking fumle [TechRepublic]
Amazon ‘ s Alexa kunne blive lokket til at smugkigger på brugere, siger sikkerhedseksperter
Stalkere bruge dating apps, så du crowdsource fare for at ofre [CNET]
Fyldt med malware, phishing og svindel, er web har brug for en safety manual?
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre