Σάραχα

Σύμφωνα με όσα μπορούν να διαβαστούν στη σελίδα The Next Web, ένας Βρετανός ερευνητής ανέφερε πολυάριθμα ελαττώματα ασφαλείας στην εφαρμογή Sarahah, η οποία είναι η οργή των εφήβων. Sarahah, στα αραβικά, σημαίνει ειλικρίνεια. Και παρόλο που πολλοί χρησιμοποιούν την εφαρμογή για να παρενοχλήσουν ή να ασκήσουν εκφοβισμό, ο σκοπός της εφαρμογής είναι ακριβώς το αντίθετο: να επαινέσουμε τους συνανθρώπους μας. Τα προβλήματα ασφαλείας στα οποία αναφέρονται περιορίζονται αποκλειστικά στην έκδοση desktop της εφαρμογής Sarahah, αφήνοντας προς το παρόν ελεύθερη την έκδοση για κινητά.

Πολλά σφάλματα μαστίζουν την web έκδοση του Sarahah

Ο Scott Helme, ένας ερευνητής, διαπίστωσε ότι η προστασία από τον ιό CSRF στον ιστότοπο της Sarahah ήταν εξαιρετικά εύκολο να σπάσει. Ο ιός CSRF είναι εξαιρετικά επιβλαβής και επικίνδυνος, καθώς μπορεί να αναλαμβάνει τον έλεγχο του λογαριασμού μας, πραγματοποιώντας λειτουργίες που δεν σχετίζονται με τη χρήση μας. Ένας εισβολέας, εξηγεί ο Helme, θα μπορούσε να χρησιμοποιήσει τον λογαριασμό μας για να προσθέσει σελιδοδείκτες σε άλλους άγνωστους λογαριασμούς, προκειμένου να κερδίσει οικονομικά.

Επίσης, επισημαίνει ότι τον περασμένο Αύγουστο ένας άλλος ερευνητής με το όνομα Rony Das ανακάλυψε επίσης περισσότερες τρύπες ασφαλείας. Συγκεκριμένα, βρήκε μια ευπάθεια XSS. Εν συντομία: ένας χάκερ θα μπορούσε να εισαγάγει κακόβουλο κώδικα στο HTML της σελίδας της Sarahah, ο οποίος θα μπορούσε να περιλαμβάνει ιούς και λογισμικό υποκλοπής spyware.

Άλλα ζητήματα: Το Helme εντόπισε σοβαρά σφάλματα στην κεφαλίδα ασφαλείας, γεγονός που εμποδίζει τη χρήση ενός πρωτοκόλλου ασφαλείας HSTS. Αυτό είναι ένα εργαλείο που χρησιμοποιείται όλο και περισσότερο για την καταπολέμηση της παραβίασης cookies και της πιθανότητας επίθεσης που εκμεταλλεύεται παλιές εκδόσεις του Ιστού. Η δουλειά του Helme είναι να προσπαθήσει να πείσει τη Sarahah να προστατεύσει τους χρήστες της σωστά. Όπως αναφέρει ο Ιστός, ο μεγάλος ανταγωνιστής του, το Ask.fm, είναι ένας ιστότοπος γεμάτος λάθη και ελαττώματα ασφαλείας. Λοιπόν, τι καλύτερο από τη Σάραχα να μάθει από τις αποτυχίες αυτής της σελίδας και να γίνει μια ασφαλής ιστοσελίδα.

Παρενόχληση και καταστροφή: ο κίνδυνος της Σάραχα στο διαδίκτυο

Σχετικά με το φίλτρο ασφαλείας και κατά της παρενόχλησης, ο ερευνητής έχει επίσης κάτι να πει. Έχει παρατηρήσει ότι, για παράδειγμα, στην πρόταση «θα σκότωνα για ένα cheeseburger», η εφαρμογή θα διέγραφε την ανάρτηση, αφού βρίσκει μια αρνητική λέξη, «Kill».Ωστόσο, εάν τοποθετηθεί κόμμα μετά το «Θα σκοτώσει», η εφαρμογή θα το αγνοούσε. Ναι, δεν είναι γραμματικά σωστό, αλλά το μήνυμα θα περάσει ούτως ή άλλως.

Και περισσότερες αποτυχίες: Η σελίδα της Sarahah δεν έχει όρια στην ταχύτητα με την οποία οι χρήστες της γράφουν σχόλια, επομένως ο καθένας μπορεί να υποστεί βομβαρδισμό παρενόχλησης, με μια απλή γραμμή σεναρίου. Η Sarahah επίσης δεν διαθέτει λειτουργία μαζικής διαγραφής, οπότε αν είμαστε θύματα ενός βομβαρδισμού σχολίων, πρέπει να τα διαγράψουμε ένα προς ένα.

Επιπλέον, για την επαναφορά του κωδικού πρόσβασης στο Sarahah, ο ιστότοπος ζητά από τον χρήστη μόνο τη διεύθυνση email που σχετίζεται με τον λογαριασμό. Μόλις ζητηθεί, το σύστημα δημιουργεί ένα νέο και το στέλνει αυτόματα στον χρήστη. Υπό αυτή την έννοια, ένας χάκερ θα μπορούσε να αλλάξει μια γραμμή σεναρίου, έτσι ώστε ο κωδικός πρόσβασης να αλλάζει κάθε στιγμή, και έτσι θα ήταν αδύνατο για τον κάτοχο του λογαριασμού να έχει πρόσβαση σε αυτό.Αυτό το ίδιο σενάριο θα μπορούσε επίσης να χρησιμοποιηθεί για την ανεπιτυχή πρόσβαση στον λογαριασμό, ακόμα κι αν ο κωδικός πρόσβασης είναι έγκυρος. Η Sarahah κλειδώνει όλους τους λογαριασμούς χρηστών που έχουν περισσότερες από 10 προσπάθειες σύνδεσης.

Η ερευνήτρια επικοινώνησε αργότερα με τη Sarahah για να την ενημερώσει για όλα αυτά χιονοστιβάδα παραβιάσεων ασφαλείας στην έκδοσή της στον ιστό. Μια έρευνα που πήρε μήνες από τον χρόνο του και που μπορεί τελικά να κάνει την εφαρμογή Sarahah μια κοινότητα απαλλαγμένη από παρενόχληση και προσχεδιασμένες κυβερνοεπιθέσεις.