Sarahah

Згідно з тим, що можна прочитати на веб-сторінці The Next, британський дослідник повідомив про численні недоліки безпеки в додатку Sarahah, який викликає шалену популярність серед підлітків. Сараха в перекладі з арабської означає чесність. І хоча багато хто використовує програму, щоб переслідувати чи практикувати залякування, мета програми прямо протилежна: робити компліменти нашим ближнім. Проблеми безпеки, про які вони згадують, стосуються виключно настільної версії програми Sarahah, а її мобільна версія наразі залишається безкоштовною.

В веб-версії Sarahah багато помилок

Скотт Хелме, дослідник, виявив, що захист від вірусів CSRF на веб-сайті Sarahah надзвичайно легко зламати. Вірус CSRF є надзвичайно шкідливим і небезпечним, оскільки він може взяти під контроль наш обліковий запис, виконуючи операції, не пов’язані з нашим використанням. Зловмисник, пояснює Хельме, може використовувати наш обліковий запис для закладок інших невідомих облікових записів, щоб отримати фінансовий прибуток.

Він також зазначає, що в серпні минулого року інший дослідник на ім’я Роні Дас також виявив більше дірок у безпеці. Зокрема, він виявив XSS-уразливість. Коротко: хакер міг вставити зловмисний код у HTML-код сторінки Sarahah, який міг містити віруси та шпигунське програмне забезпечення.

Інші проблеми: Helme виявив серйозні помилки в заголовку безпеки, що перешкоджає використанню протоколу безпеки HSTS. Це інструмент, який все частіше використовується для боротьби з викраденням файлів cookie і можливістю атаки з використанням старих версій Інтернету. Завдання Helme полягає в тому, щоб спробувати змусити Sarahah належним чином захистити своїх користувачів. Як зазначається в Інтернеті, його великий конкурент, Ask.fm, є сайтом, наповненим помилками та недоліками безпеки. Отже, що краще, ніж Сараха, щоб навчитися на помилках цієї веб-сторінки та стати безпечною веб-сторінкою.

Переслідування та ліквідація: небезпека Sarahah в Інтернеті

Щодо фільтра безпеки та захисту від переслідувань, досліднику також є що сказати. Він помітив, що, наприклад, у реченні «Я б убив за чизбургер» програма видаляла пост, оскільки знаходила заперечне слово «Вбити».Однак, якщо кома була поставлена ​​після «Вбив би», програма ігнорувала б це. Так, це не граматично правильно, але повідомлення все одно буде прийнято.

І більше невдач: сторінка Sarahah не має обмежень на швидкість, з якою її користувачі пишуть коментарі, тому будь-хто може зазнати бомбардування переслідувань за допомогою простого рядка сценарію. Sarahah також не має функції масового видалення, тому, якщо ми жертви бомбардування коментарями, ми повинні видаляти їх по одному.

Крім того, для скидання пароля в Sarahah веб-сайт запитує у користувача лише адресу електронної пошти, пов’язану з обліковим записом. Після отримання запиту система створює новий і автоматично надсилає його користувачеві. У цьому сенсі хакер може змінити рядок сценарію так, щоб пароль змінювався щомиті, і, таким чином, власник облікового запису не міг би отримати до нього доступ.Цей самий сценарій також можна використовувати, щоб зробити доступ до облікового запису невдалим, навіть якщо пароль дійсний. Sarahah блокує всі облікові записи користувачів, які мають більше 10 спроб входу.

Пізніше дослідник зв’язався з Сарахою, щоб повідомити їй про всю цю лавину порушень безпеки у її веб-версії. Розслідування, яке зайняло місяці його часу і яке нарешті може зробити додаток Sarahah спільнотою, вільною від переслідувань і навмисних кібератак.