Уязвимости в приложении для свиданий OkCupid позволяют взломать аккаунты

Ср 29 Июль 2020 15:11

Команда специалистов Check Point Research провела анализ приложения для свиданий OkCupid и обнаружила ряд уязвимостей, эксплуатация которых позволяет раскрыть конфиденциальную информацию пользователей, перехватить контроль над учетными записями для выполнения различных действий без разрешения их владельцев и украсть токены аутентификации, идентификаторы и адреса электронной почты.

Исследователи в области кибербезопасности провели обратную разработку мобильного программного обеспечения и обнаружили функциональность так называемых «глубинных ссылок», позволявшую злоумышленникам отправлять вредоносные ссылки для открытия мобильного приложения. Также была обнаружена уязвимость межсайтового скриптинга, связанная с проблемами в кодировани функциональности пользовательских настроек приложения.

Злоумышленник может отправить HTTP-запрос GET и полезную XSS-нагрузку со своего собственного сервера, а затем выполнить JavaScript-код через WebView. Если жертва нажмет на вредоносную ссылку, то ее персональная информация, данные профиля, пользовательские характеристики, идентификаторы и токены авторизации могут быть скомпрометированы и отправлены на C&C-сервер злоумышленника.

Специалисты также обнаружили неправильно настроенную политику совместного использования ресурсов между разными источниками (Cross-Origin Resource Sharing, CORS) на сервере API api.OkCupid.com, позволяющую любому источнику отправлять запросы на сервер и читать ответы.

Компания Check Point Research проинформировала OkCupid о своих находках, и разработчики сразу же выпустили исправления для данных уязвимостей.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 14 лет 141 день 21 час 19 минут 55 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.