Перейти к содержанию


Авторизация  
Bagdor

Уязвимости в приложении для свиданий OkCupid позволяют взломать аккаунты

В теме 1 сообщение

Злоумышленники могут похитить конфиденциальную информацию, перехватить контроль над учетными записями и пр.


Команда специалистов Check Point Research провела анализ приложения для свиданий OkCupid и обнаружила ряд уязвимостей, эксплуатация которых позволяет раскрыть конфиденциальную информацию пользователей, перехватить контроль над учетными записями для выполнения различных действий без разрешения их владельцев и украсть токены аутентификации, идентификаторы и адреса электронной почты.

Исследователи в области кибербезопасности провели обратную разработку мобильного программного обеспечения и обнаружили функциональность так называемых «глубинных ссылок», позволявшую злоумышленникам отправлять вредоносные ссылки для открытия мобильного приложения. Также была обнаружена уязвимость межсайтового скриптинга, связанная с проблемами в кодировани функциональности пользовательских настроек приложения.

Злоумышленник может отправить HTTP-запрос GET и полезную XSS-нагрузку со своего собственного сервера, а затем выполнить JavaScript-код через WebView. Если жертва нажмет на вредоносную ссылку, то ее персональная информация, данные профиля, пользовательские характеристики, идентификаторы и токены авторизации могут быть скомпрометированы и отправлены на C&C-сервер злоумышленника.

Специалисты также обнаружили неправильно настроенную политику совместного использования ресурсов между разными источниками (Cross-Origin Resource Sharing, CORS) на сервере API api.OkCupid.com, позволяющую любому источнику отправлять запросы на сервер и читать ответы.

Компания Check Point Research проинформировала OkCupid о своих находках, и разработчики сразу же выпустили исправления для данных уязвимостей.

Поделиться сообщением


Ссылка на сообщение

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
Авторизация  

×