Sarahah

Podľa toho, čo sa dá prečítať na webovej stránke The Next, britský výskumník nahlásil početné bezpečnostné chyby v aplikácii Sarahah, ktorá je medzi tínedžermi v móde. Sarahah v arabčine znamená čestnosť. A hoci mnohí používajú aplikáciu na obťažovanie alebo praktizovanie šikanovania, účel aplikácie je presne opačný: pochváliť našich blížnych. Bezpečnostné problémy, na ktoré odkazujú, sa obmedzujú výlučne na desktopovú verziu aplikácie Sarahah, pričom jej mobilná verzia je zatiaľ bezplatná.

Veľa chýb sužuje webovú verziu Sarahah

Scott Helme, výskumník, zistil, že ochranu proti vírusu CSRF na webovej stránke Sarahah bolo mimoriadne ľahké prelomiť. Vírus CSRF je mimoriadne škodlivý a nebezpečný, pretože je schopný ovládať náš účet a vykonávať operácie, ktoré nesúvisia s naším používaním. Útočník, vysvetľuje Helme, by mohol použiť náš účet na uloženie ďalších neznámych účtov, aby mohol finančne profitovať.

Poukazuje tiež na to, že vlani v auguste ďalší výskumník menom Rony Das objavil ďalšie bezpečnostné diery. Konkrétne zistil Zraniteľnosť XSS. V skratke: hacker mohol do kódu HTML stránky Sarahah vložiť škodlivý kód, ktorý by mohol obsahovať vírusy a spyware.

Iné problémy: Helme identifikoval závažné chyby v hlavičke zabezpečenia, ktoré bránia použitiu bezpečnostného protokolu HSTS. Ide o nástroj, ktorý sa čoraz častejšie používa na boj proti únosu súborov cookie a možnosti útoku s využitím starých verzií webu. Helmeovou úlohou je pokúsiť sa prinútiť Sarahah, aby svojich používateľov správne chránila. Ako uvádza web, jeho veľký konkurent Ask.fm je stránka plná chýb a bezpečnostných nedostatkov. Takže, čo je lepšie ako Sarahah poučiť sa z neúspechov tejto stránky a stať sa bezpečnou webovou stránkou.

Obťažovanie a ničenie: nebezpečenstvo Sarahah na webe

Pokiaľ ide o bezpečnostný filter a filter proti obťažovaniu, má čo povedať aj výskumník. Všimol si, že napríklad vo vete „Zabil by som pre cheeseburger“ aplikácia vymaže príspevok, pretože nájde záporné slovo „Zabiť“.Ak by sa však za 'Would kill' umiestnila čiarka, aplikácia by to ignorovala. Áno, nie je to gramaticky správne, ale správa by aj tak prešla.

A ďalšie zlyhania: Stránka Sarahah nemá žiadne obmedzenia v rýchlosti, akou jej používatelia píšu komentáre, takže ktokoľvek môže trpieť bombardovaním obťažovaním s jednoduchým riadkom skriptu. Sarahah tiež nemá funkciu hromadného odstraňovania, takže ak sme obeťami bombardovania komentármi, musíme ich jednu po druhej vymazať.

Okrem toho, na obnovenie hesla v Sarahah, webová lokalita od používateľa požaduje iba e-mailovú adresu spojenú s účtom. Po vyžiadaní systém vygeneruje nový a automaticky ho odošle používateľovi. V tomto zmysle by hacker mohol zmeniť riadok skriptu tak, aby sa heslo menilo každú chvíľu, a teda by bolo pre vlastníka účtu nemožné k nemu pristupovať.Rovnaký skript možno použiť aj na neúspešný prístup k účtu, aj keď je heslo platné. Sarahah zablokuje všetky používateľské účty, ktoré majú viac ako 10 pokusov o prihlásenie.

Výskumník neskôr kontaktoval Sarahah, aby ju informoval o tomto všetkom lavína narušenia bezpečnosti vo svojej webovej verzii. Vyšetrovanie, ktoré si vyžiadalo mesiace jeho času a vďaka ktorému sa môže z aplikácie Sarahah konečne stať komunita bez obťažovania a vopred premyslených kybernetických útokov.