OKCupid zaifligi akkauntlarni buzib kirishga olib kelgan bo’lishi mumkin
Yaqinda OKCupid foydalanuvchi akkauntlarining buzib kirishlari ilovadagi zaiflik bilan bog’liq bo’lishi mumkin.
Mashhur tanishuv ilovasi OKCupidning Android versiyasida foydalanuvchi nomlari, parollar va boshqa maxfiy ma’lumotlarga ruxsatsiz kirish imkonini beruvchi zaiflik aniqlandi. Checkmarx xavfsizlik tadqiqotchilarining fikriga ko’ra, muammo WebView deb nomlangan Android komponentiga ta’sir qiladi, bu veb-sahifalarni ilovalarga joylashtirish imkonini beradi. Ilovadagi ko’pgina havolalar foydalanuvchining afzal ko’rgan brauzeri orqali ochilgan bo’lsa-da, tadqiqotchilar ilovaning o’zida ochiladigan ba’zi havolalar soxtalashtirilishi mumkinligini aniqladilar. Hatto asosiy xavfsizlik bilimlariga ega bo’lgan tajovuzkor ham bundan foydalanib, OKCupidni soxta havola qonuniy ekanligiga ishontirishi mumkin.
Tadqiqotchilar soxta OKCupid kirish sahifasini yaratishga va soxta akkauntdan yuborilgan fishing elektron pochtalari orqali foydalanuvchilarni unga jalb qilishga muvaffaq bo’lishdi. Xabar tarkibini ko’rish uchun foydalanuvchilar o’zlarining hisob ma’lumotlarini kiritishlari va shu bilan ularni tajovuzkorlarga taqdim etishlari kerak edi. Ichki havolalarning URL manzillari ko’rsatilmaganligi sababli, jabrlanuvchi soxta sahifaga kirayotganini bilmas edi.
Boshqa narsalar qatorida, tajovuzkorlar o’rtadagi odam hujumini amalga oshirishi va ulanishni HTTPS dan HTTP ga tushirish orqali shifrlanmagan foydalanuvchi xabarlarini ushlab qolishlari mumkin. Buning uchun ular shunchaki ishlab chiquvchilar tasodifan foydalanuvchilarga kirish huquqini qoldirgan API va JavaScript funksiyalari bilan birga фишинг havolalaridan foydalanadilar.
Tadqiqotchilar o’tgan yilning noyabr oyida OKCupid egasi Match Group kompaniyasiga zaiflik haqida xabar berishgan va ko’p o’tmay u tuzatilgan. Tadqiqotchilarning fikriga ko’ra, zaiflikni tahlil qilish paytida ilovaning hech bir qonuniy foydalanuvchisi zarar ko’rmagan.
Ushbu zaiflikdan real hayotdagi hujumlarda foydalanilgani haqida hech qanday dalil yo’q, ammo tajovuzkorlar undan allaqachon foydalangan bo’lishi mumkinligini inkor etib bo’lmaydi. Masalan, o’tgan hafta foydalanuvchilar o’zlarining OKCupid akkauntlari buzib kirilgani haqida xabar berishni boshladilar.
