Goodnews.ua


Анонимный мессенджер Sarahah подвержен ряду уязвимостей

Октябрь 24
18:45 2017

Анонимный мессенджер Sarahah подвержен ряду уязвимостей

Web-версия популярного мобильного мессенджера для анонимных отзывов Sarahah, возглавившего рейтинги AppStore и Google Play Store, подвержена множественным уязвимостям, в том числе позволяющим осуществить XSS- и CSRF-атаки, утверждает исследователь Скотт Хелме (Scott Helme).
Приложение Sarahah (в переводе с арабского «искренность») позволяет пользователям получать анонимный отзыв, причем ответить на такие послания они не могут, лишь настроить фильтры, к примеру, чтобы отфильтровывать самые очевидные оскорбления.
По словам Хелме, в приложении присутствует защита от CSRF-атак, но ее довольно просто обойти. В числе других обнаруженных экспертом проблем: наличие лишь рудиментарной системы фильтрации, отсутствие ограничения на количество отправленных сообщений одному пользователю (всего за несколько секунд специалист смог отправить несколько сотен сообщений на тестовый аккаунт) и ненадежная процедура сброса пароля. Пользователь может сбросить пароль к учетной записи, указав адрес электронной почты, новый пароль мгновенно отправляется на его почтовый ящик. Как поясняет исследователь, данный механизм может эксплуатироваться для смены пароля к чужим аккаунтам. С помощью созданного им скрипта Хелме смог каждые 30 секунд менять пароль чужой учетной записи. Еще одна проблема заключается в установленном лимите (10 попыток) на число попыток авторизации в учетной записи. По словам исследователя, злоумышленник, знающий электронный адрес пользователя, может заблокировать его учетную запись.
Хелме сообщил администрации Sarahah о выявленных им проблемах в начале августа нынешнего года, однако разработчик отреагировал на сообщения исследователя только в начале сентября. В конце того же месяца компания сообщила, что большинство уязвимостей уже исправлено, однако вопрос Хелме о каких именно проблемах идет речь, оставила без ответа.
Напомним, ранее утилита Sarahah была уличена в передаче данных с мобильных телефонов пользователей на серверы компании-разработчика.
Sarahah — приложение, позволяющее пользователям отправлять отзывы о других пользователях в условиях полной анонимности.

Источник: securitylab.ru

Share

Статьи по теме







0 Комментариев

Хотите быть первым?

Еще никто не комментировал данный материал.

Написать комментарий

Комментировать

Залишаючи свій коментар, пам'ятайте, що зміст та тональність вашого повідомлення можуть зачіпати почуття реальних людей, що безпосередньо чи опосередковано пов'язані із цією новиною. Виявляйте повагу та толерантність до своїх співрозмовників. Користувачі, які систематично порушують це правило, будуть заблоковані.

Website Protected by Spam Master


Останні новини

Блінкен розкрив вміст нового оборонного пакету для України на $500 мільйонів

Читать всю статью

Ми у соцмережах




Наші партнёри

UA.TODAY - Украина Сегодня UA.TODAY
Goodnews.ua