Sarahah
Съдържание:
Според това, което може да се прочете на страницата The Next Web, британски изследовател е съобщил за множество пропуски в сигурността на приложението Sarahah, което е на мода сред тийнейджърите. Сараха на арабски означава честност. И въпреки че мнозина използват приложението, за да тормозят или упражняват тормоз, целта на приложението е точно обратното: да правим комплименти на нашите събратя. Проблемите със сигурността, за които се отнасят, са ограничени изключително до десктоп версията на приложението Sarahah, оставяйки мобилната му версия безплатна за момента.
Много бъгове измъчват уеб версията на Sarahah
Скот Хелме, изследовател, установи, че защитата от CSRF вируси на уебсайта на Sarahah е изключително лесна за разбиване. Вирусът CSRF е изключително вреден и опасен, тъй като е в състояние да поеме контрола над нашия акаунт, извършвайки операции, несвързани с нашата употреба. Нападател, обяснява Хелме, може да използва нашия акаунт, за да маркира други неизвестни акаунти, за да спечели финансово.
Той също така посочва, че миналия август друг изследовател на име Рони Дас също е открил още дупки в сигурността. По-конкретно, той откри XSS уязвимост. Накратко: хакер може да вмъкне зловреден код в HTML на страницата на Sarahah, който може да включва вируси и шпионски софтуер.
Други проблеми: Helme идентифицира сериозни грешки в защитния хедър, което предотвратява използването на HSTS протокол за сигурност. Това е инструмент, който се използва все по-често за борба срещу отвличане на бисквитки и възможността за атака, възползваща се от стари версии на мрежата. Работата на Helme е да се опита да накара Sarahah да защити своите потребители правилно. Както се посочва в мрежата, големият му конкурент, Ask.fm, е сайт, пълен с грешки и пропуски в сигурността. И така, какво по-добро от Sarahah да се поучи от провалите на тази и да стане безопасна уеб страница.
Тормоз и премахване: опасността от Sarahah в мрежата
По отношение на филтъра за сигурност и тормоз, изследователят също има какво да каже. Той е забелязал, че например в изречението „Бих убил за чийзбургер“ приложението изтрива публикацията, тъй като намира отрицателна дума „Убий“.Въпреки това, ако се постави запетая след „Ще убие“, приложението ще го игнорира. Да, не е граматически правилно, но съобщението ще премине така или иначе.
И още неуспехи: Страницата на Sarahah няма ограничения за скоростта, с която нейните потребители пишат коментари, така че всеки може да понесе бомбардировка от тормоз с прост ред от скрипт. Sarahah също няма функция за масово изтриване, така че ако сме жертви на бомбардировка с коментари, трябва да ги изтрием един по един.
Освен това, за да нулира паролата в Sarahah, уебсайтът пита потребителя само за имейл адреса, свързан с акаунта. Веднъж поискана, системата генерира нова и я изпраща автоматично на потребителя. В този смисъл хакер може да промени ред от скрипт, така че паролата да се променя всеки момент и по този начин би било невъзможно за собственика на акаунта да получи достъп до нея.Същият този скрипт може да се използва и за неуспешен достъп до акаунта, дори ако паролата е валидна. Sarahah заключва всички потребителски акаунти, които имат повече от 10 опита за влизане.
По-късно изследователят се свърза със Sarahah, за да я информира за цялата тази лавина от пробиви в сигурността в нейната уеб версия. Разследване, което отне месеци от времето му и което най-накрая може да превърне приложението Sarahah в общност без тормоз и предумишлени кибератаки.
