Sarah
Sisällysluettelo:
The Next Web -sivulta luettavien mukaan brittiläinen tutkija on raportoinut lukuisista tietoturvapuutteista teini-ikäisten keskuudessa koettelemassa Sarahah-sovelluksessa. Sarahah tarkoittaa arabiaksi rehellisyyttä. Ja vaikka monet käyttävät sovellusta kiusaamiseen tai harjoittamiseen, sovelluksen tarkoitus on täsmälleen päinvastainen: kehua miehiä. Tietoturvaongelmat, joihin ne viittaavat, rajoittuvat yksinomaan Sarahah-sovelluksen työpöytäversioon, joten sen mobiiliversio on toistaiseksi ilmainen.
Paljon bugeja vaivaa Sarahahin verkkoversiota
Scott Helme, tutkija, havaitsi, että Sarahahin verkkosivuilla oleva CSRF-virussuojaus oli erittäin helppo murtaa. CSRF-virus on äärimmäisen haitallinen ja vaarallinen, sillä se voi ottaa tilimme hallintaansa suorittamalla toimintaamme liittymättömiä toimintoja. Hyökkääjä, Helme selittää, voisi käyttää tiliämme muiden tuntemattomien tilien merkitsemiseen kirjanmerkkeihin saadakseen taloudellista hyötyä.
Hän huomauttaa myös, että viime elokuussa toinen tutkija nimeltä Rony Das löysi lisää tietoturva-aukkoja. Tarkemmin sanottuna se löysi XSS-haavoittuvuuden. Lyhyesti: hakkeri saattoi lisätä Sarahahin sivun HTML-koodiin haitallista koodia, joka voi sisältää viruksia ja vakoiluohjelmia.
Muut ongelmat: Helme havaitsi vakavia virheitä suojausotsikossa, mikä estää HSTS-suojausprotokollan käytön. Tämä on työkalu, jota käytetään yhä useammin taistelemaan evästeiden kaappausta ja mahdollisuutta hyökätä vastaan, joka hyödyntää vanhoja verkkoversioita. Helmen tehtävänä on yrittää saada Sarahah suojelemaan käyttäjiään kunnolla. Kuten verkko toteaa, sen suuri kilpailija, Ask.fm, on sivusto täynnä virheitä ja tietoturvapuutteita. Joten mikä olisikaan sen parempaa kuin Sarahah oppia tämän sivun epäonnistumisista ja tulla turvalliseksi verkkosivuksi.
Häirintä ja repiminen: Sarahahin vaara verkossa
Turvallisuuden ja häirinnän vastaisen suodattimen os alta tutkijalla on myös sanottavaa. Hän on huomannut, että esimerkiksi lauseessa "Tappaisin juustohampurilaisen vuoksi" sovellus poistaisi julkaisun, koska se löytää negatiivisen sanan "Tapa".Kuitenkin, jos pilkku laitetaan "tappaisi" perään, sovellus jättää sen huomioimatta. Kyllä, se ei ole kieliopillisesti oikein, mutta viesti menisi joka tapauksessa perille.
Ja lisää epäonnistumisia: Sarahahin sivulla ei ole rajoituksia nopeudelle, jolla sen käyttäjät kirjoittavat kommentteja, joten kuka tahansa voi kärsiä häirinnän pommituksesta yksinkertaisella käsikirjoituksella. Sarahahilla ei myöskään ole massapoistotoimintoa, joten jos olemme kommentipommituksen uhreja, meidän on poistettava ne yksitellen.
Lisäksi salasanan nollaamiseksi Sarahahissa sivusto pyytää käyttäjältä vain tiliin liittyvän sähköpostiosoitteen. Pyydettäessä järjestelmä luo uuden ja lähettää sen automaattisesti käyttäjälle. Tässä mielessä hakkeri voisi muuttaa skriptiriviä niin, että salasana vaihtuisi joka hetki, jolloin tilin omistajan olisi mahdotonta päästä siihen käsiksi.Tätä samaa komentosarjaa voidaan käyttää myös tilin käytön epäonnistumiseen, vaikka salasana olisikin kelvollinen. Sarahah lukitsee kaikki käyttäjätilit, joilla on yli 10 kirjautumisyritystä.
Tutkija otti myöhemmin yhteyttä Sarahiin kertoakseen hänelle kaikesta tästä tietoturvaloukkausten lumivyörystä hänen verkkoversiossaan. Tutkimus, joka on kestänyt kuukausia hänen ajastaan ja joka voi vihdoin tehdä Sarahah-sovelluksesta yhteisön, joka ei sisällä häirintää ja harkittuja kyberhyökkäyksiä.
