Уязвимость в OKCupid могла стать причиной взломов учетных записей

image

Теги: уязвимость, приложение, OkCupid

Недавние взломы учетных записей пользователей OKCupid могли быть связаны с уязвимостью в приложении.

В Android-версии популярного приложения для знакомств OKCupid обнаружена уязвимость, позволяющая посторонним получать доступ к именам, паролям и другой конфиденциальной информации пользователей.

Как сообщают специалисты по безопасности компании Checkmarx, проблема затрагивает компонент Android под названием WebView, позволяющий встраивать web-страницы в приложения. Хотя большинство ссылок в приложении открываются через выбранный пользователем браузер, исследователи обнаружили, что некоторые ссылки, открывающиеся в самом приложении, можно подделать. Злоумышленник, обладающий даже только базовыми знаниями, может воспользоваться этим и убедить OKCupid в том, что поддельная ссылка является настоящей.

Исследователям удалось создать поддельную страницу авторизации OKCupid и заманить на нее пользователей через фишинговые сообщения, рассылаемые с поддельной учетной записи. Для того чтобы увидеть содержимое сообщения, пользователь должен был ввести свои учетные данные и тем самым предоставить их атакующим. Поскольку URL-адреса внутренних ссылок не отображаются, жертва и понятия не имела бы, что авторизуется на поддельной странице.

Помимо прочего, злоумышленники могут осуществить атаку «человек посередине» и перехватывать сообщения пользователей в незашифрованном виде путем отката подключения с HTTPS до HTTP. Для этого им достаточно использовать фишинговые ссылки вместе с API и функциями JavaScript, доступ к которым был случайно оставлен пользователям разработчиками.

Исследователи уведомили владельца OKCupid компанию Match Group об уязвимости в ноябре прошлого года, и вскоре она была исправлена. По словам исследователей, в ходе анализа уязвимости ни один настоящий пользователь приложения не пострадал.

Свидетельств эксплуатации уязвимости в реальных атаках зафиксировано не было, однако вероятность того, что злоумышленники уже использовали ее, не исключается. К примеру, на прошлой неделе стали появляться сообщения от пользователей о взломах их учетных записей OKCupid.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.