Sarahah

Conform ceea ce se poate citi pe pagina The Next Web, un cercetător britanic a raportat numeroase defecte de securitate în aplicația Sarahah, care face furori în rândul adolescenților. Sarahah, în arabă, înseamnă onestitate. Și deși mulți folosesc aplicația pentru a hărțui sau a practica bullying-ul, scopul aplicației este exact opusul: să-i complimenteze pe semenii noștri. Problemele de securitate la care se referă se limitează exclusiv la versiunea desktop a aplicației Sarahah, lăsând versiunea mobilă liberă pentru moment.

O mulțime de bug-uri afectează versiunea web a lui Sarahah

Scott Helme, un cercetător, a descoperit că protecția împotriva virusului CSRF de pe site-ul lui Sarahah a fost extrem de ușor de spart. Virusul CSRF este extraordinar de dăunător și periculos, fiind capabil să preia controlul asupra contului nostru, efectuând operațiuni care nu au legătură cu utilizarea noastră. Un atacator, explică Helme, ar putea folosi contul nostru pentru a marca alte conturi necunoscute, în scopul de a profita financiar.

De asemenea, subliniază că în august anul trecut un alt cercetător pe nume Rony Das a descoperit și el mai multe găuri de securitate. Mai exact, a găsit o vulnerabilitate XSS. Pe scurt: un hacker ar putea introduce cod rău intenționat în codul HTML al paginii lui Sarahah, care ar putea include viruși și programe spion.

Alte probleme: Helme a identificat erori grave în antetul de securitate, ceea ce împiedică utilizarea unui protocol de securitate HSTS. Acesta este un instrument care este din ce în ce mai folosit pentru a lupta împotriva deturnării cookie-urilor și a posibilității unui atac care profită de versiunile vechi ale web-ului. Sarcina lui Helme este să încerce să o determine pe Sarahah să-și protejeze utilizatorii în mod corespunzător. După cum afirmă web-ul, marele său competitor, Ask.fm, este un site plin de erori și defecte de securitate. Deci, ce mai bun decât Sarahah să înveți din eșecurile acesteia și să devii o pagină web sigură.

Hărțuire și demolare: pericolul lui Sarahah pe web

Referitor la filtrul de securitate și antihărțuire, cercetătorul are și el ceva de spus. El a observat că, de exemplu, în propoziția „Aș ucide pentru un cheeseburger”, aplicația ar șterge postarea, deoarece găsește un cuvânt negativ, „Ucide”.Cu toate acestea, dacă a fost plasată o virgulă după „Ar ucide”, aplicația o va ignora. Da, nu este corect din punct de vedere gramatical, dar mesajul ar ajunge oricum.

Și mai multe eșecuri: pagina lui Sarahah nu are limite în ceea ce privește viteza cu care utilizatorii ei scriu comentarii, așa că oricine poate suferi un bombardament de hărțuire, cu un simplu rând de scenariu. De asemenea, Sarahah nu are nicio funcție de ștergere în masă, așa că dacă suntem victime ale unui bombardament de comentarii, trebuie să le ștergem unul câte unul.

În plus, pentru a reseta parola în Sarahah, site-ul web cere utilizatorului doar adresa de e-mail asociată contului. Odată solicitat, sistemul generează unul nou și îl trimite automat utilizatorului. În acest sens, un hacker ar putea schimba o linie de script astfel încât parola să se schimbe în fiecare moment, și astfel ar fi imposibil ca proprietarul contului să o acceseze.Același script ar putea fi folosit și pentru a nu reuși accesul la cont, chiar dacă parola este validă. Sarahah blochează toate conturile de utilizator care au mai mult de 10 încercări de conectare.

Cercetatorul a contactat-o ​​ulterior pe Sarahah pentru a o informa despre toate aceste avalanșă de breșe de securitate în versiunea ei web. O investigație care i-a luat luni de zile din timpul său și care poate face în sfârșit din aplicația Sarahah o comunitate lipsită de hărțuire și atacuri cibernetice premeditate.