Sarahah

Zgodnie z tym, co można przeczytać na stronie The Next Web, brytyjski badacz zgłosił liczne luki w zabezpieczeniach popularnej wśród nastolatków aplikacji Sarahah. Sarahah po arabsku oznacza uczciwość. I chociaż wielu używa aplikacji do nękania lub zastraszania, cel aplikacji jest dokładnie odwrotny: komplementy dla naszych bliźnich. Problemy z bezpieczeństwem, do których się odnoszą, ograniczają się wyłącznie do desktopowej wersji aplikacji Sarahah, pozostawiając na razie darmową wersję mobilną.

Wiele błędów nęka internetową wersję Sarahah

Scott Helme, badacz, stwierdził, że zabezpieczenie przed wirusami CSRF w witrynie internetowej Sarahah było niezwykle łatwe do złamania. Wirus CSRF jest niezwykle szkodliwy i niebezpieczny, będąc w stanie przejąć kontrolę nad naszym kontem, przeprowadzając operacje niezwiązane z naszym użyciem. Jak wyjaśnia Helme, osoba atakująca może użyć naszego konta do dodania zakładek do innych nieznanych kont w celu czerpania korzyści finansowych.

Wskazuje również, że w sierpniu ubiegłego roku inny badacz, Rony Das, również odkrył więcej luk w zabezpieczeniach. W szczególności wykryto lukę XSS. W skrócie: haker może umieścić złośliwy kod w kodzie HTML strony Sarahah, który może zawierać wirusy i oprogramowanie szpiegujące.

Inne problemy: firma Helme wykryła poważne błędy w nagłówku zabezpieczeń, które uniemożliwiają użycie protokołu zabezpieczeń HSTS. Jest to narzędzie coraz częściej wykorzystywane do walki z przechwytywaniem plików cookie i możliwością ataku z wykorzystaniem starych wersji sieci. Zadaniem Helme jest próba skłonienia Sarahah do właściwej ochrony swoich użytkowników. Jak twierdzi sieć, jej wielki konkurent, Ask.fm, jest stroną pełną błędów i luk w zabezpieczeniach. Więc co lepszego niż Sarahah może uczyć się na błędach tej strony i stać się bezpieczną stroną internetową.

Nękanie i niszczenie: niebezpieczeństwo Sarahah w sieci

Jeśli chodzi o filtr zabezpieczający i chroniący przed nękaniem, badacz również ma coś do powiedzenia. Zauważył, że na przykład w zdaniu „Zabiłbym za cheeseburgera” aplikacja kasowała wpis, ponieważ znalazła negatywne słowo „Zabij”.Jeśli jednak przecinek został umieszczony po słowie „Zabiłoby”, aplikacja zignorowałaby go. Tak, to nie jest poprawne gramatycznie, ale wiadomość i tak by dotarła.

I więcej niepowodzeń: Strona Sarahah nie ma ograniczeń co do szybkości, z jaką jej użytkownicy piszą komentarze, więc każdy może paść ofiarą nękania za pomocą prostej linijki skryptu. Sarahah również nie ma funkcji masowego usuwania, więc jeśli jesteśmy ofiarami bombardowania komentarzami, musimy usuwać je jeden po drugim.

Dodatkowo, aby zresetować hasło w Sarahah, witryna pyta użytkownika tylko o adres e-mail powiązany z kontem. Na żądanie system generuje nowy i automatycznie wysyła go do użytkownika. W tym sensie haker mógłby zmienić linijkę skryptu tak, aby hasło zmieniało się co chwilę, a tym samym właściciel konta nie miałby do niego dostępu.Tego samego skryptu można również użyć do zablokowania dostępu do konta, nawet jeśli hasło jest prawidłowe. Sarahah blokuje wszystkie konta użytkowników, które mają więcej niż 10 prób logowania.

Naukowiec skontaktował się później z Sarahah, aby poinformować ją o całej tej lawinie naruszeń bezpieczeństwa w jej wersji internetowej. Dochodzenie, które zajęło mu miesiące i które może w końcu sprawić, że aplikacja Sarahah stanie się społecznością wolną od nękania i cyberataków z premedytacją.