Анонимный мессенджер Sarahah подвержен ряду уязвимостей
Web-версия популярного мобильного мессенджера для анонимных отзывов Sarahah, возглавившего рейтинги AppStore и Google Play Store, подвержена множественным уязвимостям, в том числе позволяющим осуществить XSS- и CSRF-атаки, утверждает исследователь Скотт Хелме (Scott Helme).
Приложение Sarahah (в переводе с арабского «искренность») позволяет пользователям получать анонимный отзыв, причем ответить на такие послания они не могут, лишь настроить фильтры, к примеру, чтобы отфильтровывать самые очевидные оскорбления.
По словам Хелме, в приложении присутствует защита от CSRF-атак, но ее довольно просто обойти. В числе других обнаруженных экспертом проблем: наличие лишь рудиментарной системы фильтрации, отсутствие ограничения на количество отправленных сообщений одному пользователю (всего за несколько секунд специалист смог отправить несколько сотен сообщений на тестовый аккаунт) и ненадежная процедура сброса пароля. Пользователь может сбросить пароль к учетной записи, указав адрес электронной почты, новый пароль мгновенно отправляется на его почтовый ящик. Как поясняет исследователь, данный механизм может эксплуатироваться для смены пароля к чужим аккаунтам. С помощью созданного им скрипта Хелме смог каждые 30 секунд менять пароль чужой учетной записи. Еще одна проблема заключается в установленном лимите (10 попыток) на число попыток авторизации в учетной записи. По словам исследователя, злоумышленник, знающий электронный адрес пользователя, может заблокировать его учетную запись.
Хелме сообщил администрации Sarahah о выявленных им проблемах в начале августа нынешнего года, однако разработчик отреагировал на сообщения исследователя только в начале сентября. В конце того же месяца компания сообщила, что большинство уязвимостей уже исправлено, однако вопрос Хелме о каких именно проблемах идет речь, оставила без ответа.
Напомним, ранее утилита Sarahah была уличена в передаче данных с мобильных телефонов пользователей на серверы компании-разработчика.
Sarahah — приложение, позволяющее пользователям отправлять отзывы о других пользователях в условиях полной анонимности.
Источник: securitylab.ru
Еще никто не комментировал данный материал.
Написать комментарий