Sarahah

Glede na to, kar lahko preberete na spletni strani The Next Web, je britanski raziskovalec poročal o številnih varnostnih pomanjkljivostih v aplikaciji Sarahah, ki je med najstniki zelo priljubljena. Sarahah v arabščini pomeni poštenost. In čeprav mnogi aplikacijo uporabljajo za nadlegovanje ali ustrahovanje, je namen aplikacije ravno nasproten: pohvaliti sočloveka. Varnostne težave, na katere se sklicujejo, so omejene izključno na namizno različico aplikacije Sarahah, mobilna različica pa je trenutno brezplačna.

Spletno različico Sarahah pesti veliko hroščev

Scott Helme, raziskovalec, je ugotovil, da je zaščito pred virusi CSRF na Sarahahinem spletnem mestu zelo enostavno zlomiti. Virus CSRF je izjemno škodljiv in nevaren, saj lahko prevzame nadzor nad našim računom in izvaja operacije, ki niso povezane z našo uporabo. Napadalec, pojasnjuje Helme, bi lahko uporabil naš račun za dodajanje zaznamkov drugim neznanim računom, da bi imel finančni dobiček.

Poudarja tudi, da je lani avgusta drug raziskovalec Rony Das prav tako odkril več varnostnih lukenj. Natančneje, našel je XSS ranljivost. Na kratko: heker bi lahko v HTML Sarahahine strani vstavil zlonamerno kodo, ki bi lahko vsebovala viruse in vohunsko programsko opremo.

Druge težave: Helme je odkril resne napake v varnostni glavi, ki preprečuje uporabo varnostnega protokola HSTS. To je orodje, ki se vse pogosteje uporablja za boj proti ugrabitvam piškotkov in možnosti napada, ki izkorišča stare različice spleta. Helmejeva naloga je prepričati Sarahah, da ustrezno zaščiti svoje uporabnike. Kot navaja splet, je njegov veliki konkurent Ask.fm spletno mesto, polno napak in varnostnih pomanjkljivosti. Torej, kaj boljšega kot Sarahah, da se naučiš iz napak te strani in postaneš varna spletna stran.

Nadlegovanje in zlom: nevarnost Sarahe na spletu

Glede varnostnega filtra in filtra proti nadlegovanju ima raziskovalec tudi kaj povedati. Opazil je, da bi na primer v stavku 'Ubil bi za cheeseburger' aplikacija izbrisala objavo, saj najde negativno besedo 'Ubiti'.Če pa bi bila za 'Would kill' postavljena vejica, bi aplikacija to prezrla. Ja, ni slovnično pravilno, ampak sporočilo bi vseeno prišlo.

In še več neuspehov: Sarahina stran nima omejitev glede hitrosti, s katero njeni uporabniki pišejo komentarje, tako da lahko vsak doživi bombardiranje nadlegovanja s preprosto vrstico skripta. Sarahah prav tako nima nobene funkcije množičnega brisanja, tako da, če smo žrtve bombardiranja s komentarji, jih moramo izbrisati enega za drugim.

Poleg tega spletno mesto za ponastavitev gesla v Sarahah od uporabnika zahteva samo e-poštni naslov, povezan z računom. Ko je zahtevana, sistem ustvari novo in jo samodejno pošlje uporabniku. V tem smislu bi lahko heker spremenil vrstico skripta tako, da bi se geslo spreminjalo vsak trenutek, lastniku računa pa bi tako onemogočil dostop do njega.Ta isti skript se lahko uporabi tudi za neuspešen dostop do računa, tudi če je geslo veljavno. Sarahah zaklene vse uporabniške račune, ki imajo več kot 10 poskusov prijave.

Raziskovalec je pozneje kontaktiral Sarahah, da bi jo obvestil o vsem tem plazu kršitev varnosti v njeni spletni različici. Preiskava, ki mu je vzela mesece časa in ki lahko končno spremeni aplikacijo Sarahah v skupnost brez nadlegovanja in premišljenih kibernetskih napadov.