Il difetto di sicurezza di OkCupid minaccia i dettagli intimi dei dati
30 Luglio 2020 - Tempo di lettura: 11 minuti
I ricercatori hanno scoperto una serie di problemi nella famosa app di incontri OkCupid, che avrebbe potuto consentire agli aggressori di raccogliere informazioni sensibili sugli appuntamenti degli utenti, manipolare i dati del proprio profilo o persino inviare messaggi dal proprio profilo.
OkCupid è una delle piattaforme di appuntamenti più popolari in tutto il mondo, con oltre 50 milioni di utenti registrati, per lo più di età compresa tra 25 e 34 anni. I ricercatori hanno riscontrato difetti sia nell'applicazione mobile Android che nella pagina web del servizio.
Questi difetti avrebbero potuto potenzialmente rivelare i dettagli del profilo completo di un utente, i messaggi privati, l'orientamento sessuale, gli indirizzi personali e tutte le risposte inviate alle domande di profilazione di OKCupid, hanno detto.
I difetti sono stati risolti, ma "la nostra ricerca su OKCupid, che è una delle applicazioni più longevi e più popolari nel loro settore, ci ha portato a sollevare alcune serie domande sulla sicurezza delle app di appuntamenti", ha affermato Oded Vanunu, responsabile di ricerca sulla vulnerabilità dei prodotti presso Check Point Research, mercoledì.
"Le domande fondamentali sono: quanto sono sicuri i miei dettagli intimi sull'applicazione? Con quale facilità qualcuno che non conosco può accedere alle mie foto, messaggi e dettagli più privati? Abbiamo imparato che le app di appuntamenti possono essere tutt'altro che sicure.
I ricercatori di Check Point hanno rivelato i loro risultati a OKCupid, dopo di che OkCupid ha riconosciuto i problemi e risolto i difetti di sicurezza nei loro server."
Non un singolo utente è stato influenzato dalla potenziale vulnerabilità su OkCupid e siamo riusciti a risolverlo entro 48 ore", ha dichiarato OkCupid in una nota.
"Siamo grati a partner come Check Point che con OkCupid mettono al primo posto la sicurezza e la privacy dei nostri utenti."
I difetti
Per eseguire l'attacco, un attore di minacce dovrebbe convincere gli utenti di OkCupid a fare clic su un singolo link dannoso per eseguire codice dannoso nelle pagine Web e mobili. Un utente malintenzionato può inviare il collegamento alla vittima (sulla piattaforma di OkCupid o sui social media) o pubblicarlo in un forum pubblico. Una volta che la vittima fa clic sul collegamento dannoso, i dati vengono quindi esfiltrati.
Il motivo per cui funziona è perché il dominio OkCupid principale ( https://www.OkCupid.com ) era vulnerabile a un attacco di cross-site scripting (XSS). Dopo aver retroingegnerizzato l'applicazione per dispositivi mobili OkCupid per Android (v40.3.1 su Android 6.0.1), i ricercatori hanno scoperto che l'app ascolta gli "intenti" che seguono schemi personalizzati (come lo schema personalizzato "OkCupid: //") tramite un collegamento del browser . I ricercatori sono stati in grado di inserire codice JavaScript dannoso nel parametro "sezione" delle impostazioni del profilo utente nella funzionalità delle impostazioni (https://www.OkCupid.com/settings?section= <value>).
Gli aggressori potrebbero utilizzare un payload XSS che carica un file di script da un server controllato dagli aggressori, con JavaScript che può essere utilizzato per l'esfiltrazione dei dati. Questo potrebbe essere utilizzato per rubare token di autenticazione, ID account, cookie e dati sensibili dell'account come indirizzi e-mail. Potrebbe anche rubare i dati del profilo degli utenti, così come i loro messaggi privati con gli altri.
Quindi, utilizzando il token di autorizzazione e l'ID utente, un utente malintenzionato potrebbe eseguire azioni come la modifica dei dati del profilo e l'invio di messaggi dall'account del profilo degli utenti: "L'attacco in definitiva consente a un utente malintenzionato di mascherarsi come utente vittima, per eseguire qualsiasi azione che il l'utente è in grado di eseguire e accedere a qualsiasi dato dell'utente ", secondo i ricercatori.
App di incontri sotto esame
Non è la prima volta che la piattaforma OkCupid presenta difetti di sicurezza. Nel 2019, è stato riscontrato un difetto critico nell'app OkCupid che potrebbe consentire a un malintenzionato di rubare credenziali, lanciare attacchi man-in-the-middle o compromettere completamente l'applicazione della vittima. Separatamente, OKCupid ha negato una violazione dei dati dopo che sono emerse segnalazioni di utenti che lamentavano la violazione degli account. Altre app di incontri - tra cui Coffee Meets Bagel, MobiFriends e Grindr - hanno tutti avuto la loro parte di problemi di privacy e molti notoriamente raccolgono e si riservano il diritto di condividere informazioni.
A giugno 2019, un'analisi di ProPrivacy ha rilevato che le app di incontri tra cui Match e Tinder raccolgono tutto, dai contenuti della chat ai dati finanziari sui propri utenti, e poi li condividono. Le loro politiche sulla privacy si riservano inoltre il diritto di condividere in modo specifico le informazioni personali con inserzionisti e altri partner commerciali. Il problema è che gli utenti spesso non sono consapevoli di queste pratiche sulla privacy.
"Ogni creatore e utente di un'app di appuntamenti dovrebbe fare una pausa per un momento per riflettere su cosa si può fare di più in termini di sicurezza, soprattutto quando si entra in quella che potrebbe essere un'imminente pandemia di cyber", ha affermato Vanunu di Check Point. "Le applicazioni con informazioni personali sensibili, come un'app di appuntamenti, hanno dimostrato di essere bersagli degli hacker, quindi l'importanza fondamentale di proteggerli."
