해커 뉴스와 공유 보고서에 따르면,체크 포인트의 연구자들은 옥큐피드의 안드로이드 및 웹 애플리케이션의 결함이 사용자의 인증 토큰,사용자 아이디 및 이메일 주소,환경 설정,성적 취향 및 기타 개인 데이터와 같은 기타 민감한 정보의 도난을 허용 할 수 있음을 발견했다.
체크 포인트 연구원이 책임감있게 자신의 연구 결과를 옥큐피드와 공유 한 후,매치 그룹 소유의 회사는”잠재적 인 취약점으로 인해 단일 사용자가 영향을받지 않았습니다.”
결함의 체인
결함은 올해 초 4 월 29 일에 출시 된 옥큐 피드의 안드로이드 앱 버전 40.3.1 의 리버스 엔지니어링의 일부로 확인되었다. 그 이후로,어제 구글 플레이 스토어 타격 가장 최신 버전(43.3.2)와 응용 프로그램에 15 업데이트가 있었다.
체크 포인트는 딥 링크의 옥 큐피드의 사용은 자바 스크립트가 활성화 된 브라우저 창을 열려면 응용 프로그램의 매니페스트 파일에 정의 된 사용자 정의 링크를 보낼 나쁜 행위자를 활성화 할 수 있다고 말했다. 이러한 요청은 사용자의 쿠키를 반환하는 것으로 나타났습니다.
연구원은 또한 오큐피드의 설정 기능에 대한 별도의 결함을 발견하여 다음과 같이”섹션”매개 변수를 사용하여 악의적 인 자바 스크립트 코드를 주입하여 공격에 취약합니다.그리고 축적 된 데이터를 다시 서버로 전송합니다.
연구자들은 토큰 정보를 캡처하는 방법을 설명하면서”사용자의 쿠키는 서버로 전송된다. “이 서버는 사용자 아이디와 인증 토큰을 포함하는 방대한 제이슨으로 응답합니다.”
일단 사용자 아이디와 토큰을 소유하게 되면,적들은”https://www.OkCupid.com:443/graphql”엔드포인트에 요청을 보내 피해자의 프로필과 관련된 모든 정보(이메일 주소,성적 취향,신장,가족 상태 및 기타 개인적 선호)를 가져올 뿐만 아니라,메시지 전송 및 프로필 데이터 변경과 같은 손상된 개인을 대신하여 행동을 수행할 수 있다.
그러나 전체 계정 하이재킹은 쿠키가
애슐리 매디슨 위반과 협박 위협을 기억 하는가?
이 취약점은 야생에서 악용되지는 않았지만,이 에피소드는 나쁜 행위자가 흑인과 강탈로 피해자를 위협하기 위해 결함을 어떻게 활용할 수 있었는지를 상기시키는 또 다른 신호입니다.
애슐리 매디슨 이후,2015 년 업무 파트너를 찾는 기혼자를 대상으로 하는 성인 데이트 서비스가 해킹당하고 3,200 만 명의 사용자에 대한 정보가 다크 웹에 게시되면서 피싱 및 섹스토션 캠페인이 증가했으며,협박자들은 개인화된 이메일을 사용자에게 보내고 돈을 지불하지 않으면 친구 및 가족에게 회원 자격을 공개하겠다고 위협했다.
“개인 정보 보호 및 데이터 보안에 대한 절박한 필요성은 개인적이고 친밀한 정보가 앱에 저장,관리 및 분석 될 때 훨씬 더 중요해진다”고 연구진은 결론 지었다. “이 앱과 플랫폼은 사람들을 하나로 모으기 위해 만들어졌지만 물론 사람들이가는 곳에는 범죄자가 따라 와서 쉽게 먹이를 찾습니다.”
