Sarahah

Prema onome što se može pročitati na stranici The Next Web, britanski istraživač izvijestio je o brojnim sigurnosnim propustima u aplikaciji Sarahah, koja je u modi među tinejdžerima. Sarahah na arapskom znači poštenje. I iako mnogi koriste aplikaciju za uznemiravanje ili prakticiranje m altretiranja, svrha aplikacije je upravo suprotna: davanje komplimenta našim bližnjima. Sigurnosni problemi na koje se odnose ograničeni su isključivo na desktop verziju Sarahah aplikacije, ostavljajući njezinu mobilnu verziju trenutno besplatnom.

Puno grešaka muči web verziju Sarahah

Scott Helme, istraživač, otkrio je da je zaštitu od CSRF virusa na Sarahahinoj web stranici bilo iznimno lako razbiti. Virus CSRF je izuzetno štetan i opasan jer može preuzeti kontrolu nad našim računom, obavljajući operacije koje nisu povezane s našom upotrebom. Napadač bi, objašnjava Helme, mogao koristiti naš račun za označavanje drugih nepoznatih računa, kako bi financijski zaradio.

On također ističe da je prošlog kolovoza još jedan istraživač po imenu Rony Das također otkrio više sigurnosnih rupa. Konkretno, pronašao je XSS ranjivost. Ukratko: haker bi mogao umetnuti zlonamjerni kod u HTML Sarahahine stranice, koji bi mogao uključivati ​​viruse i špijunski softver.

Drugi problemi: Helme je identificirao ozbiljne pogreške u sigurnosnom zaglavlju, što sprječava korištenje HSTS sigurnosnog protokola. Ovo je alat koji se sve više koristi u borbi protiv otmice kolačića i mogućnosti napada koji iskorištavaju stare verzije weba. Helmeov posao je pokušati natjerati Sarahah da pravilno zaštiti svoje korisnike. Kako web navodi, njegov veliki konkurent, Ask.fm, stranica je prepuna grešaka i sigurnosnih nedostataka. Dakle, što je bolje od Sarahe da nauči iz neuspjeha ove i postane sigurna web stranica.

Uznemiravanje i rušenje: opasnost od Sarahe na webu

Što se tiče sigurnosnog i filtra protiv uznemiravanja, istraživač također ima nešto za reći. Primijetio je da bi, primjerice, u rečenici 'Ubio bih za čizburger' aplikacija izbrisala objavu jer pronađe negativnu riječ 'Ubiti'.Međutim, ako je iza "Ubio bi" stavljen zarez, aplikacija bi to zanemarila. Da, nije gramatički ispravno, ali poruka bi svejedno stigla.

I više neuspjeha: Sarahahina stranica nema ograničenja u brzini pisanja komentara, tako da svatko može pretrpjeti bombardiranje uznemiravanjem, s jednostavnom linijom skripte. Sarahah također nema funkciju masovnog brisanja, pa ako smo žrtve bombardiranja komentarima, moramo ih brisati jednog po jednog.

Osim toga, za poništavanje lozinke u Sarahahu, web stranica od korisnika traži samo adresu e-pošte povezanu s računom. Nakon zahtjeva, sustav generira novi i automatski ga šalje korisniku. U tom smislu, haker bi mogao promijeniti redak skripte tako da bi se lozinka mijenjala svakog trenutka, a time bi vlasniku računa bilo nemoguće pristupiti njoj.Ista se skripta također može koristiti za neuspješan pristup računu, čak i ako je lozinka važeća. Sarahah zaključava sve korisničke račune koji imaju više od 10 pokušaja prijave.

Istraživač je kasnije kontaktirao Sarahah kako bi je obavijestio o svemu ovom lavini sigurnosnih proboja u svojoj web verziji. Istraga koja mu je oduzela mjesece vremena i koja konačno može učiniti aplikaciju Sarahah zajednicom bez uznemiravanja i kibernetičkih napada s predumišljajem.