Sarahah

Podle toho, co se lze dočíst na stránce The Next Web, britský výzkumník nahlásil četné bezpečnostní chyby v aplikaci Sarahah, která je mezi teenagery v módě. Sarahah v arabštině znamená poctivost. A přestože mnozí aplikaci používají k obtěžování nebo praktikování šikany, účel aplikace je přesně opačný: pochválit naše bližní. Bezpečnostní problémy, na které odkazují, se omezují výhradně na desktopovou verzi aplikace Sarahah, její mobilní verze je prozatím zdarma.

Webovou verzi Sarahah trápí spousta chyb

Scott Helme, výzkumník, zjistil, že ochranu proti virům CSRF na Sarahhiných webových stránkách bylo extrémně snadné prolomit. Virus CSRF je nesmírně škodlivý a nebezpečný, protože je schopen převzít kontrolu nad naším účtem a provádět operace nesouvisející s naším používáním. Útočník, vysvětluje Helme, by mohl použít náš účet k přidání dalších neznámých účtů, aby mohl finančně profitovat.

Poukazuje také na to, že loni v srpnu jiný výzkumník jménem Rony Das také objevil další bezpečnostní díry. Konkrétně nalezl zranitelnost XSS. Stručně řečeno: hacker by mohl do kódu HTML Sarahiny stránky vložit škodlivý kód, který by mohl obsahovat viry a spyware.

Další problémy: Helme identifikoval závažné chyby v hlavičce zabezpečení, které brání použití bezpečnostního protokolu HSTS. Jedná se o nástroj, který se stále více používá v boji proti únosu souborů cookie a možnosti útoku využívajícího staré verze webu. Helme má za úkol přimět Sarahah, aby své uživatele náležitě chránila. Jak uvádí web, jeho velký konkurent, Ask.fm, je web prošpikovaný chybami a bezpečnostními nedostatky. Takže co lepšího než Sarahah se poučit z neúspěchů této stránky a stát se bezpečnou webovou stránkou.

Obtěžování a ničení: nebezpečí Sarahah na webu

Pokud jde o bezpečnostní filtr a filtr proti obtěžování, výzkumník má také co říci. Všiml si, že například ve větě „Zabil bych pro cheeseburger“ aplikace smaže příspěvek, protože najde záporné slovo „Zabít“.Pokud by však za 'Would kill' byla umístěna čárka, aplikace by ji ignorovala. Ano, není to gramaticky správné, ale zpráva by stejně prošla.

A další selhání: Stránka Sarahah nemá žádná omezení rychlosti, jakou její uživatelé píší komentáře, takže kdokoli může trpět bombardováním obtěžováním pomocí jednoduchého řádku skriptu. Sarahah také nemá žádnou funkci hromadného mazání, takže pokud jsme obětí bombardování komentářů, musíme je jednu po druhé smazat.

Kromě toho, k resetování hesla v Sarahah, web žádá uživatele pouze o e-mailovou adresu spojenou s účtem. Po vyžádání systém vygeneruje nový a automaticky jej odešle uživateli. V tomto smyslu by hacker mohl změnit řádek skriptu tak, že by se heslo měnilo každou chvíli, a tudíž by k němu neměl přístup vlastník účtu.Stejný skript lze také použít k neúspěšnému přístupu k účtu, i když je heslo platné. Sarahah zamkne všechny uživatelské účty, které mají více než 10 pokusů o přihlášení.

Výzkumník později kontaktoval Sarahah, aby ji informoval o všech těchto lavině narušení bezpečnosti ve své webové verzi. Vyšetřování, které zabralo měsíce jeho času a které může konečně učinit z aplikace Sarahah komunitu bez obtěžování a předem promyšlených kybernetických útoků.