חוקרים ישראליים מדגימים: כך ניתן להשתלט על חשבון ה-OkCupid שלכם בשנייה

אפליקציית הדייטים הפופולארית היתה חשופה לפרצה חמורה, שהעמידה בסכנה את כל הפרטים האישיים של המשתמשים שלה, כולל תמונות, העדפות והתכתבויות

תמונה: OkCupid

מחפשים אהבה, מוצאים האקר: עם עשרות מיליוני משתמשים ברחבי העולם, OkCupid היא אחת מאפליקציית ההיכרויות הפופולרית בעולם ובישראל, אבל חוקרי אבטחה ישראליים גילו חולשת אבטחה משמעותית שמאפשרת לתוקף להשתלט על החשבון שלכם, להוריד את כל התמונות והסרטונים שלכם ואפילו להתכתב בשמכם.

לינק אחד, וכל הפרטים שלכם אצל ההאקר

“מצאנו כי מנגנון ה-CORS של OkCupid היה מוגדר לא ראוי”, מסביר אלון בוקסינר, חוקר חולשות בחברת צקפוינט, בשיחה עם גיקטיים.”תוקף שולח לינק לאתר שנמצא בשליטתו, וברגע שהקורבן עובר לאתר הזדוני, מופעל קוד שמתשאל את שרתי OkCupid בשם הקורבן”. לאור הגדרת מנגנון ה-CORS, התוקף פשוט יכל לגנוב את Token ההזדהות של הקורבן, ולקצור את המידע האישי שלו. על קצה המזלג, CORS, או Cross-Origin Resource Sharing בשמה המלא, היא הדרך בה ניתן לבצע קריאות AJAX לשרת שנמצא בדומיין אחר, ובעצם מאפשרת לשרתים להשתמש במקור חיצוני נוסף.

כל העדכונים מחכים לכם בערוץ הטלגרם של גיקטיים כל העדכונים מחכים לכם בערוץ הטלגרם של גיקטיים להצטרפות לערוץ הטלגרם שלנו לחץ כאן

“עוד מצאנו כי אפליקציית המובייל, המושתתת על WebView וכן אפליקציית הווב פגיעות לחולשה Cross-Site Scripting”, מסביר בוקסינר. בעת לחיצה על הלינק הזדוני בין אם בתוך מערכת ההתכתבויות של OkCupid או כל אפליקציה אחרת, מתבצעת ברקע הזרקת קוד JavaScript. מאותו רגע, התוקף יכול לבצע פעולות בשמו של הקורבן, וכאמור גם לגנוב ממנו מידע.

צ’קפוינט הודיעה ל-OkCupid אודות הפירצה שגילתה, וזו תוקנה לאחר 48 שעות, כך שמשתמשים באפליקציה לא נדרשים לבצע כל פעולה שהיא בנקודה זו. עוד נמסר מ-OkCupid כי אף משתמש לא הושפע מהחולשות שהתגלו.


עודד ואנונו, ראש מחלקת חולשות מוצרים בצ’ק פוינט מסר: ” אפליקציות היכרויות מכילות מידע אישי רב וחשוב ולכן רמת האבטחה שלהן הינה קריטית למשתמשים. הוכחנו שגם באחת האפליקציות הפופולריות בעולם נמצאו חולשות חמורות. לשמחתנו, OkCupid הגיבו בצורה מהירה ואחראית נוכח הממצאים שלנו. החומרים שנמצאים על הפלטפורמות הללו הם רגישים, ולכן יש לקוות שרמת האבטחה של אפליקציות היכרויות מעין אלו הינה מספקת”.

עידן בן טובים

נולד עם ג׳ויסטיק ביד. יש לו הרבה יותר מדי גאדג׳טים והרבה פחות מדי זמן פנוי כדי לשחק עם כולם. בעל פטיש לא מוסבר לביצוע קליברציות לסוללות של מכשירים. כשהוא לא עסוק בלכתוב על טכנולוגיה, הוא אוהב לדבר עליה, והרבה

הגב

6 תגובות על "חוקרים ישראליים מדגימים: כך ניתן להשתלט על חשבון ה-OkCupid שלכם בשנייה"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
עודד המקודד
Guest

האפליקציה באנדרואיד מלאה בבאגים, איטית מאוד וכן אני בטוח שקיימות עוד חולשות בדרך זו או אחרת

בדרך כלל אתם בסדר
Guest
בדרך כלל אתם בסדר

תיקון לכותרת “בעבר היה ניתן”

רוני
Guest

אין צורך בתיקון, “ניתן” זה כבר בעבר.
בדומה ל”נלמד”: החומר נלמד היום, החומר נלמד בעבר.

איתי
Guest

ממתי CORS זו פרצה? CORS הוא לא יותר מ״חוק״ שעל הדפדפן למלא, כל קליינט הכי בסיסי יכול להתעלם מזה ולבצע איזו שאילתה שהוא רוצה, אם היוזר נפל לאתר פישינג כלשהו, גם אם הבקשות המשך נעשו מהדפדפן בעקבות אי ציות של השרת לCORS או בין אם נשלחו למכונה שתבצע את הבקשת המשך, הפישינג הוא החלק המעניין ובכלל לא איך קונפג השרת..

עופר
Guest

אני חושב שאלון בוקסינר מצ’קפוינט התבלבל בראשי התיבות ובמושגים.

הבעיה היא לא במנגנון CORS, שכמובן מוגן באופן טבעי ע”י דפדפנים (יש לזה exceptions אבל הם לא כ”כ חשובים לדיון כאן).

הבעיה היא במנגנון CSRF – Cross Site Request Forgery – זו למעשה הפירצה, והיא גם זו שמתוארת בהמשך: “תוקף שולח לינק לאתר שנמצא בשליטתו, וברגע שהקורבן עובר לאתר הזדוני, מופעל קוד שמתשאל את שרתי OkCupid בשם הקורבן”.

John
Guest

וואו אנשים בלי מושג, על השרת יש מחוייבות לאפשר whitelisting של איזה דומיינים מאושרים ל cors

wpDiscuz

תגיות לכתבה: