Анонимният месинджър Sarahah е податлив на редица уязвимости
Sarahah

Web-версията на популярния мобилен месинджър за анонимни отзиви Sarahah, оглавяващ класациите на AppStore и Google Play Store, е предмет на няколко недостатъка в сигурността, включително позволяващ изпълнение на XSS и CSRF атаки, твърди изследователят Скот Хелм.

Приложението Sarahah (в превод от арабски “искреност”), позволява на потребителите да получават анонимни отзиви, но без да могат да отговорят на тези послания, а само да конфигурират филтри за най-очевидните обиди.

Според Хелм, в приложението е налице защита от CSRF атака, но е доста лесно да се заобиколи. Останалите открити от експерта проблеми: наличие на елементарна система за филтриране, липса на ограничение за броя на изпратените съобщения само на един потребител (само за няколко секунди, специалистът е успял да изпрати няколко стотин съобщения на тестов акаунт) и несигурна процедура за нулиране на паролата. Потребителят може да смени паролата на чужд акаунт, като въведе своя имейл адрес и паролата незабавно се изпраща на неговата пощенска кутия.

Както обяснява изследователя, този механизъм може да се използва за смяна на паролата на чужди акаунти. С помощта на създадения от тях скрипт, Хелм е успял на всеки 30 секунди да сменя паролата на чужди акаунти.

Другият проблем е в установения лимит (от 10 опита) на броя на опитите за вход в акаунта. Според изследователя, нападателите, знаещи имейл-адреса на потребителя, могат да блокират профила му.

Хелм е съобщил на администрацията на Sarahah за откритите от него проблеми в началото на август тази година, но разработчикът е реагирал на съобщенията на изследователя едва в началото на септември. В края на същия месец, компанията съобщи, че големите уязвимости вече са коригирани, но въпросът на Хелм е за кои точно проблеми става въпрос, но отговор не е получил.

Припомняме, че по-рано програмата Sarahah бе уличена в прехвърляне на данни от мобилните телефони на потребителите към сървъри на компанията-разработчик.

Sarahah – приложение, което позволява на потребителите да изпращат отзиви за други потребители в пълна анонимност.
Коментари
Все още няма коментари
Статистика
Прегледи 102
Коментари 0
Рейтинг
Добавена на25 Окт 2017
ИзточникKaldata
Тагове
Sarahah
IT-BG.org
Всички права запазени
Създаден от: В.Илиев
Хостинг и домейн: SUPERHOSTING. BG