Сараха
Оглавление:
Согласно тому, что можно прочитать на веб-странице The Next, британский исследователь сообщил о многочисленных недостатках безопасности в приложении Sarahah, которое очень нравится подросткам. Сараха в переводе с арабского означает честность. И хотя многие используют приложение для домогательств или издевательств, цель приложения прямо противоположна: сделать комплимент нашим собратьям. Проблемы безопасности, на которые они ссылаются, касаются исключительно настольной версии приложения Sarahah, поэтому его мобильная версия на данный момент бесплатна.
Много ошибок в веб-версии Sarahah
Скотт Хельм, исследователь, обнаружил, что защиту от вирусов CSRF на веб-сайте Сарахи очень легко сломать. Вирус CSRF чрезвычайно вреден и опасен, поскольку он может получить контроль над нашей учетной записью, выполняя операции, не связанные с нашим использованием. Злоумышленник, объясняет Хельме, может использовать нашу учетную запись, чтобы добавить в закладки другие неизвестные учетные записи, чтобы получить финансовую прибыль.
Он также указывает, что в августе прошлого года другой исследователь по имени Рони Дас также обнаружил больше дыр в безопасности. В частности, была обнаружена XSS-уязвимость. Вкратце: хакер может вставить вредоносный код в HTML-код страницы Сары, который может содержать вирусы и шпионское ПО.
Другие проблемы: Helme обнаружил серьезные ошибки в заголовке безопасности, которые препятствуют использованию протокола безопасности HSTS. Это инструмент, который все чаще используется для борьбы с перехватом файлов cookie и возможностью атаки с использованием старых версий Интернета. Задача Хельме состоит в том, чтобы заставить Sarahah должным образом защищать своих пользователей. Как говорится в Интернете, его главный конкурент, Ask.fm, — это сайт, изобилующий ошибками и недостатками безопасности. Итак, что может быть лучше, чем Сараха, чтобы извлечь уроки из неудач этого и стать безопасной веб-страницей.
Преследование и разоблачение: опасность Сары в сети
Относительно безопасности и защиты от домогательств исследователю тоже есть что сказать. Он заметил, что, например, в предложении «Убил бы за чизбургер» приложение удалило бы пост, так как нашло отрицательное слово «Убить».Однако, если запятая была поставлена после «Убьет», приложение проигнорирует ее. Да, это грамматически неправильно, но сообщение все равно пройдет.
И еще неудачи: страница Сарахи не имеет ограничений на скорость, с которой ее пользователи пишут комментарии, так что любой может подвергнуться бомбардировке преследований с помощью простой строки сценария. Сараха также не имеет функции массового удаления, поэтому, если мы жертвы бомбардировки комментариями, мы должны удалять их один за другим.
Кроме того, для сброса пароля в Sarahah веб-сайт запрашивает у пользователя только адрес электронной почты, связанный с учетной записью. После запроса система генерирует новый и автоматически отправляет его пользователю. В этом смысле хакер может изменить строку скрипта так, чтобы пароль менялся каждую секунду, и, таким образом, владелец учетной записи не мог получить к нему доступ.Этот же сценарий также можно использовать для неудачного доступа к учетной записи, даже если пароль действителен. Sarahah блокирует все учетные записи пользователей, которые имеют более 10 попыток входа в систему.
Исследователь позже связался с Сарой, чтобы сообщить ей обо всей этой лавине нарушений безопасности в ее веб-версии. Расследование, которое заняло месяцы его времени и которое, наконец, может сделать приложение Sarahah сообществом, свободным от преследований и преднамеренных кибератак.
