Sarahah
Tartalomjegyzék:
A The Next Web oldalon olvashatóak szerint egy brit kutató számos biztonsági hibáról számolt be a tinédzserek körében divatos Sarahah alkalmazásban. A Sarahah arabul azt jelenti, hogy őszinteség. És bár sokan zaklatásra vagy megfélemlítésre használják az alkalmazást, az alkalmazás célja éppen az ellenkezője: férfitársainknak dicsérni. A biztonsági problémák, amelyekre hivatkoznak, kizárólag a Sarahah alkalmazás asztali verziójára korlátozódnak, így annak mobil verziója egyelőre ingyenes.
Sok hiba sújtja a Sarahah webes verzióját
Scott Helme, egy kutató megállapította, hogy a Sarahah honlapján található CSRF vírusvédelmet rendkívül könnyű feltörni. A CSRF vírus rendkívül káros és veszélyes, mivel képes irányítását is átveheti, és olyan műveleteket hajthat végre, amelyek nem kapcsolódnak a használatunkhoz. Egy támadó – magyarázza Helme – használhatja fiókunkat más ismeretlen számlák könyvjelzői közé, hogy anyagi haszonra tegyen szert.
Arra is rámutat, hogy tavaly augusztusban egy Rony Das nevű kutató is több biztonsági rést fedezett fel. Konkrétan XSS biztonsági rést talált. Röviden: egy hacker rosszindulatú kódot illeszthet be Sarahah oldalának HTML-kódjába, amely vírusokat és kémprogramokat tartalmazhat.
Egyéb problémák: A Helme súlyos hibákat azonosított a biztonsági fejlécben, ami megakadályozza a HSTS biztonsági protokoll használatát. Ez egy olyan eszköz, amelyet egyre gyakrabban használnak a cookie-k eltérítése és a web régi verzióit kihasználó támadások elleni küzdelemre. Helme feladata, hogy megpróbálja rávenni Sarahah-t, hogy megfelelően védje a felhasználóit. Ahogy a web is írja, nagy versenytársa, az Ask.fm egy olyan webhely, amely tele van hibákkal és biztonsági hibákkal. Szóval, mi lenne jobb, mint Sarahah, hogy tanuljon ennek az oldalnak a kudarcaiból, és biztonságos weboldallá váljon.
Zakasztás és lebontás: Sarahah veszélye az interneten
A biztonsági és zaklatásellenes szűrővel kapcsolatban a kutatónak is van mondanivalója. Észrevette, hogy például az „Ölnék egy sajtburgerért” mondatban az alkalmazás törölné a bejegyzést, mivel a „Kill” negatív szót talál.Ha azonban vesszőt tesznek a „Megölne” után, az alkalmazás figyelmen kívül hagyja. Igen, nyelvtanilag nem helyes, de az üzenet úgyis átjönne.
És további kudarcok: Sarahah oldalán nincs korlát a felhasználói kommentírás sebességében, így bárkit zaklatás bombázásában szenvedhet, egy egyszerű forgatókönyv segítségével. A Sarahah-nak nincs tömeges törlési funkciója sem, így ha egy megjegyzésbombázás áldozatai vagyunk, akkor egyenként kell törölnünk őket.
Ezen túlmenően a jelszó visszaállításához Sarahahban a webhely csak a fiókhoz társított e-mail címet kéri a felhasználótól. Kérésre a rendszer újat generál és automatikusan elküldi a felhasználónak. Ebben az értelemben a hacker megváltoztathat egy szkriptsort úgy, hogy a jelszó minden pillanatban megváltozzon, és így a fiók tulajdonosa nem tud hozzáférni.Ugyanez a szkript használható a fiókhoz való hozzáférés sikertelenítésére is, még akkor is, ha a jelszó érvényes. Sarahah zárolja az összes felhasználói fiókot, amelynél több mint 10 bejelentkezési kísérlet történt.
A kutató később megkereste Sarahah-t, hogy tájékoztassa őt minderről a biztonsági rések lavinája a webes verziójában. Egy nyomozás, amely hónapokig tartott az idejéből, és amely végre a Sarahah alkalmazást zaklatástól és előre megfontolt kibertámadásoktól mentes közösséggé teheti.
