Các nhà nghiên cứu an ninh mạng hôm nay đã tiết lộ một số vấn đề bảo mật trong nền tảng hẹn hò trực tuyến phổ biến OkCool có khả năng cho phép kẻ tấn công từ xa theo dõi thông tin cá nhân của người dùng hoặc thực hiện các hành động độc hại thay cho tài khoản được nhắm mục tiêu.
Theo một báo cáo được chia sẻ với The Hacker News, các nhà nghiên cứu từ Điểm kiểm tra nhận thấy rằng các lỗ hổng trong các ứng dụng web và Android của OkCool có thể cho phép đánh cắp mã thông báo xác thực của người dùng, ID người dùng và các thông tin nhạy cảm khác như địa chỉ email, tùy chọn, xu hướng tình dục và dữ liệu riêng tư khác.
Sau khi các nhà nghiên cứu của Check Point có trách nhiệm chia sẻ những phát hiện của họ với OkCool, công ty thuộc sở hữu của Match Group đã khắc phục các vấn đề, nói rằng “không một người dùng nào bị ảnh hưởng bởi lỗ hổng tiềm năng.”
Chuỗi sai sót
Các lỗ hổng được xác định là một phần của kỹ thuật đảo ngược của ứng dụng Android phiên bản 40.3.1 của OkCool, được phát hành vào ngày 29 tháng 4 năm nay. Kể từ đó, đã có 15 cập nhật cho ứng dụng với phiên bản mới nhất (43.3.2) đánh vào Google Play Store ngày hôm qua.
Check Point cho biết việc sử dụng OkCool của liên kết sâu có thể cho phép một diễn viên xấu gửi liên kết tùy chỉnh được xác định trong tệp kê khai của ứng dụng để mở cửa sổ trình duyệt có bật JavaScript. Bất kỳ yêu cầu như vậy đã được tìm thấy để trả lại cookie của người dùng.
Các nhà nghiên cứu cũng phát hiện ra một lỗ hổng riêng trong chức năng cài đặt của OkCool, khiến nó dễ bị tấn công XSS bằng cách tiêm mã JavaScript độc hại bằng cách sử dụng tham số “phần” như sau: “https: //www.okcool.com/sinstall?section=value”
Cuộc tấn công XSS đã nói ở trên có thể được tăng cường hơn nữa bằng cách tải trọng tải JavaScript từ máy chủ do kẻ tấn công kiểm soát để đánh cắp mã thông báo xác thực, thông tin hồ sơ và tùy chọn người dùng và truyền dữ liệu đã tích lũy trở lại máy chủ.
“Cookie của người dùng được gửi đến [OkCupid] “máy chủ kể từ khi tải trọng XSS được thực thi trong bối cảnh WebView của ứng dụng”, các nhà nghiên cứu cho biết, phác thảo phương pháp của họ để nắm bắt thông tin mã thông báo. “Máy chủ phản hồi với một JSON rộng lớn chứa id của người dùng và mã thông báo xác thực.”
Sau khi sở hữu ID người dùng và mã thông báo, một kẻ thù có thể gửi yêu cầu đến điểm cuối “https: //www.OkCool.com:443/graphql” để lấy tất cả thông tin liên quan đến hồ sơ của nạn nhân (địa chỉ email, tình dục định hướng, chiều cao, tình trạng gia đình và các sở thích cá nhân khác) cũng như thực hiện các hành động thay mặt cho cá nhân bị xâm nhập, chẳng hạn như gửi tin nhắn và thay đổi dữ liệu hồ sơ.
Tuy nhiên, không thể chiếm quyền điều khiển tài khoản đầy đủ vì cookie được bảo vệ bằng HTTPOnly, giảm thiểu rủi ro của tập lệnh phía máy khách khi truy cập cookie được bảo vệ.
Cuối cùng, một sự giám sát trong Chia sẻ tài nguyên nguồn gốc chéo (CORS) chính sách của máy chủ API có thể cho phép kẻ tấn công tạo các yêu cầu từ bất kỳ nguồn gốc nào (ví dụ: “https://okc ngốcmeethehacker.com”) để có được ID người dùng và mã thông báo xác thực và sau đó, sử dụng thông tin đó để trích xuất chi tiết hồ sơ và tin nhắn bằng cách sử dụng điểm cuối “hồ sơ” và “tin nhắn” của API.
Ghi nhớ Ashley Madison Vi phạm và các mối đe dọa tống tiền?
Mặc dù các lỗ hổng không được khai thác trong tự nhiên, tập phim vẫn là một lời nhắc nhở khác về việc các diễn viên xấu có thể lợi dụng lỗ hổng để đe dọa nạn nhân bị tống tiền và tống tiền.
Sau Ashley Madison, một dịch vụ hẹn hò người lớn phục vụ cho các cá nhân đã kết hôn tìm kiếm đối tác cho các vấn đề là bị hack năm 2015 và thông tin về 32 triệu người dùng của nó là đăng lên web tối, nó dẫn đến sự gia tăng của lừa đảo và chiến dịch nội dung, với những kẻ tống tiền được cho là đã gửi email cá nhân cho người dùng, đe dọa tiết lộ tư cách thành viên của họ cho bạn bè và gia đình trừ khi họ trả tiền.
“Nhu cầu nghiêm trọng về quyền riêng tư và bảo mật dữ liệu trở nên quan trọng hơn rất nhiều khi có rất nhiều thông tin riêng tư và thân mật được lưu trữ, quản lý và phân tích trong một ứng dụng”, các nhà nghiên cứu kết luận. “Ứng dụng và nền tảng được tạo ra để mang mọi người lại với nhau, nhưng tất nhiên mọi người đi đâu, bọn tội phạm sẽ theo dõi, tìm kiếm sự lựa chọn dễ dàng.”
