Cybersecurity onderzoekers vandaag onthuld een aantal beveiligingsproblemen in de populaire online dating platform OkCupid die potentieel kunnen laten aanvallers op afstand bespioneren gebruikers ‘ privé-informatie of het uitvoeren van kwaadaardige acties namens de beoogde accounts.
volgens een rapport gedeeld met de Hacker News, onderzoekers van Check Point gevonden dat de gebreken in OkCupid’ s Android en webapplicaties kan de diefstal van gebruikers authenticatie tokens, gebruikers-ID ‘ s, en andere gevoelige informatie, zoals e-mailadressen, Voorkeuren, seksuele geaardheid, en andere persoonlijke gegevens.
na Check Point onderzoekers op verantwoorde wijze gedeeld hun bevindingen met OkCupid, de Match Group-eigendom bedrijf vast de problemen, waarin staat: “geen enkele gebruiker werd beïnvloed door de potentiële kwetsbaarheid.”
The Chain of Flaws
the flaws were identified as part of reverse engineering of OkCupid ‘ s Android app version 40.3.1, which was released on April 29 early this year. Sindsdien zijn er 15 updates voor de app met de meest recente versie (43.3.2) het raken van Google Play Store gisteren.
Check Point zei OkCupid ‘ s gebruik van deep links kan een slechte actor in staat stellen om een aangepaste link gedefinieerd in de app manifest bestand te sturen naar een browser venster met JavaScript ingeschakeld te openen. Een dergelijk verzoek bleek de cookies van de gebruikers te retourneren.
de onderzoekers ontdekten ook een aparte fout in OkCupid ‘ s instellingen Functionaliteit die het kwetsbaar maakt voor een XSS-aanval door het injecteren van kwaadaardige JavaScript-code met behulp van de “sectie” parameter als volgt: “https://www.okcupid.com/settings?section=value”
de bovengenoemde XSS-aanval kan verder worden vergroot door het laden van een JavaScript payload van een aanvaller gecontroleerde server om authenticatie tokens, profielinformatie en Gebruikersvoorkeuren te stelen, en de verzamelde gegevens terug te sturen naar de server.
” gebruikers cookies worden verzonden naar de server, omdat de XSS payload wordt uitgevoerd in het kader van de applicatie WebView,” de onderzoekers zei, waarin hun methode om de token informatie vast te leggen. “De server reageert met een enorme JSON met de gebruikers’ id en de authenticatie token.”
eenmaal in het bezit van de gebruikers-ID en het token, kan een tegenstander een verzoek sturen naar het eindpunt” https://www.OkCupid.com:443/graphql ” om alle informatie op te halen die verband houdt met het profiel van het slachtoffer (e-mailadres, seksuele geaardheid, lengte, familiestatus en andere persoonlijke voorkeuren) en acties uitvoeren namens de besmette persoon, zoals berichten verzenden en profielgegevens wijzigen.
een volledige accountkaping is echter niet mogelijk omdat de cookies zijn beveiligd met Httpeonly, waardoor het risico wordt beperkt dat een script aan de client-kant toegang krijgt tot de beveiligde cookie.
ten slotte had een oversight in het Cross-Origin Resource Sharing (CORS) beleid van de API-server een aanvaller kunnen toestaan om verzoeken van elke oorsprong te maken (bijvoorbeeld “https://okcupidmeethehacker.com”) om de gebruikers-ID en authenticatietoken te bemachtigen, en vervolgens die informatie te gebruiken om profielgegevens en berichten te extraheren met behulp van de API ‘ s “profiel” en “berichten” eindpunten.
herinner je Ashley Madison inbreuk en chantage bedreigingen?
hoewel de kwetsbaarheden niet in het wild werden uitgebuit, is de episode een zoveelste herinnering aan hoe slechte acteurs misbruik van de gebreken hadden kunnen maken om slachtoffers te bedreigen met zwart en afpersing.
Na Ashley Madison, een adult dating service catering voor gehuwde personen op zoek naar partners voor zaken werd gehackt in 2015 en informatie over de 32 miljoen gebruikers werd geplaatst op de donkere web, het leidde tot een stijging van phishing en sextortion campagnes, met afpersers naar verluidt het verzenden van gepersonaliseerde e-mails van de gebruikers, dreigt te onthullen van hun lidmaatschap aan vrienden en familie, tenzij zij betalen geld.
” de dringende behoefte aan privacy en gegevensbeveiliging wordt veel belangrijker wanneer zoveel privé en intieme informatie wordt opgeslagen, beheerd en geanalyseerd in een app, ” de onderzoekers geconcludeerd. “De app en het platform zijn gemaakt om mensen bij elkaar te brengen, maar waar mensen naartoe gaan, zullen criminelen natuurlijk volgen, op zoek naar makkelijke keuzes.”