OkCupid 约会应用程序缺陷可能会让黑客阅读您的私人消息

网络安全研究人员今天披露了流行的在线约会平台 OkCupid 中的几个安全问题,这些问题可能会让攻击者远程监视用户的私人信息或代表目标帐户执行恶意操作。

根据与 The Hacker News 分享的一份报告,Check Point 的研究人员发现 OkCupid 的 Android 和 Web 应用程序中的缺陷可能允许窃取用户的身份验证令牌、用户 ID 和其他敏感信息,例如电子邮件地址、偏好、性取向,以及其他私人数据。

在 Check Point 研究人员负责任地与 OkCupid 分享他们的发现后,Match Group 拥有的公司解决了这些问题,并表示“没有一个用户受到潜在漏洞的影响”。

缺陷链

这些缺陷被确定为 OkCupid 的 Android 应用程序版本 40.3.1 逆向工程的一部分,该版本于今年早些时候于 4 月 29 日发布。从那以后,该应用程序进行了15 次更新,最新版本 (43.3.2) 于昨天登陆 Google Play 商店。

Check Point 表示,OkCupid 使用深层链接可能会使恶意行为者发送在应用程序清单文件中定义的自定义链接,以打开启用了 JavaScript 的浏览器窗口。发现任何此类请求都会返回用户的 cookie。

OkCupid 约会应用程序缺陷可能会让黑客阅读您的私人消息

研究人员还发现了 OkCupid 设置功能中的一个单独缺陷,该缺陷通过使用“section”参数注入恶意 JavaScript 代码,使其容易受到 XSS 攻击,如下所示:“https://www.okcupid.com/settings?section=value”

通过从攻击者控制的服务器加载 JavaScript 负载以窃取身份验证令牌、配置文件信息和用户首选项,并将收集到的数据传输回服务器,可以进一步增强上述 XSS 攻击。

“用户的 cookie 被发送到 [OkCupid] 服务器,因为 XSS 有效负载是在应用程序的 WebView 的上下文中执行的,”研究人员说,并概述了他们捕获令牌信息的方法。“服务器以包含用户 ID 和身份验证令牌的大量 JSON 进行响应。”

一旦拥有用户 ID 和令牌,攻击者就可以向“https://www.OkCupid.com:443/graphql”端点发送请求,以获取与受害者个人资料相关的所有信息(电子邮件地址、性别方向、身高、家庭状况和其他个人偏好)以及代表受感染个人执行操作,例如发送消息和更改个人资料数据。

然而,完整的帐户劫持是不可能的,因为 cookie 受HTTPOnly保护,从而降低了客户端脚本访问受保护 cookie 的风险。

最后,API 服务器跨域资源共享 ( CORS ) 策略的疏忽可能允许攻击者从任何来源(例如“https://okcupidmeethehacker.com”)制作请求以获取用户ID 和身份验证令牌,随后使用该信息通过 API 的“配置文件”和“消息”端点提取配置文件详细信息和消息。

还记得 Ashley Madison 违约和勒索威胁吗?

尽管这些漏洞并未在野外被利用,但这一事件再次提醒人们,不良行为者可能会利用这些漏洞以黑人和敲诈勒索来威胁受害者。

OkCupid 约会应用程序缺陷可能会让黑客阅读您的私人消息

在阿什利麦迪逊(Ashley Madison),一家迎合已婚人士寻求婚外情的成人约会服务在 2015年遭到黑客攻击,有关其 3200 万用户的信息被发布到暗网上后,导致网络钓鱼和性勒索活动增加,据报道敲诈者发送个性化信息。向用户发送电子邮件,威胁要向朋友和家人透露他们的会员身份,除非他们付钱。

研究人员总结道:“当在应用程序中存储、管理和分析如此多的私人和私密信息时,对隐私和数据安全的迫切需求变得更加重要。” “该应用程序和平台旨在将人们聚集在一起,但当然,人们走到哪里,犯罪分子就会跟随,寻找轻松的选择。”