Перейти к содержанию


Последние сообщения:

  Продам Дроп проект под СТАФ (2) от okmijnuhb  
  Who can create a Revolut account with a specify ID (2) от okmijnuhb  
  Europe 7567 валид почты. (1) от ppo890  
  COMMON MISTAKES WHILE APPLYING FOR BUSINESS LOANS (1) от Orissi  
  Разово Chime 60% - 65% (1) от Glint  
  Нужен вбив Google AdSense (2) от mattew  

Последние темы:

  Who can create a Revolut account with a specify ID (2) от okmijnuhb  
  Europe 7567 валид почты. (1) от ppo890  
  COMMON MISTAKES WHILE APPLYING FOR BUSINESS LOANS (1) от Orissi  
  Разово Chime 60% - 65% (1) от Glint  
  Нужен вбив Google AdSense (2) от mattew  
  Изучаю спрос (1) от MisT1k  
  Ключи Windows/Office (1) от BeLik  
Авторизация  
Bagdor

Уязвимости в приложении для свиданий OkCupid позволяют взломать аккаунты

В теме 1 сообщение

Злоумышленники могут похитить конфиденциальную информацию, перехватить контроль над учетными записями и пр.


Команда специалистов Check Point Research провела анализ приложения для свиданий OkCupid и обнаружила ряд уязвимостей, эксплуатация которых позволяет раскрыть конфиденциальную информацию пользователей, перехватить контроль над учетными записями для выполнения различных действий без разрешения их владельцев и украсть токены аутентификации, идентификаторы и адреса электронной почты.

Исследователи в области кибербезопасности провели обратную разработку мобильного программного обеспечения и обнаружили функциональность так называемых «глубинных ссылок», позволявшую злоумышленникам отправлять вредоносные ссылки для открытия мобильного приложения. Также была обнаружена уязвимость межсайтового скриптинга, связанная с проблемами в кодировани функциональности пользовательских настроек приложения.

Злоумышленник может отправить HTTP-запрос GET и полезную XSS-нагрузку со своего собственного сервера, а затем выполнить JavaScript-код через WebView. Если жертва нажмет на вредоносную ссылку, то ее персональная информация, данные профиля, пользовательские характеристики, идентификаторы и токены авторизации могут быть скомпрометированы и отправлены на C&C-сервер злоумышленника.

Специалисты также обнаружили неправильно настроенную политику совместного использования ресурсов между разными источниками (Cross-Origin Resource Sharing, CORS) на сервере API api.OkCupid.com, позволяющую любому источнику отправлять запросы на сервер и читать ответы.

Компания Check Point Research проинформировала OkCupid о своих находках, и разработчики сразу же выпустили исправления для данных уязвимостей.

Поделиться сообщением


Ссылка на сообщение

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
Авторизация  

×