Imagen: Aladino González, Getty Images/iStockphoto

La investigación de Check Point Software ha descubierto una serie de vulnerabilidades en la aplicación móvil y el sitio web del servicio de citas en línea OK Cupid que podrían permitir a los atacantes no solo robar datos personales, sino también actuar en nombre de un usuario.

VER: Zero Trust Security: Hoja de trucos (PDF gratuito) (República Tecnológica)

Las vulnerabilidades de OKCupid descubiertas por Check Point permiten que un atacante potencial haga cinco cosas:

  • Exponga los datos del usuario almacenados en la aplicación móvil de OKCupid
  • Realizar acciones en nombre de la víctima.
  • Robar perfiles de usuarios, datos privados, preferencias y características personales
  • Robar tokens de autenticación de usuarios, identificaciones de usuarios, direcciones de correo electrónico y otra información confidencial de la cuenta
  • Enviar todos los datos expuestos al servidor de un atacante

"Demostramos que los detalles privados, los mensajes y las fotos de los usuarios pueden ser vistos y manipulados por un pirata informático, por lo que todos los desarrolladores y usuarios de aplicaciones de citas deben detenerse a pensar en los niveles de seguridad en torno a los detalles e imágenes íntimos que alojan y comparten en estas plataformas. ”, dijo Oded Vanunu, Jefe de Investigación de Vulnerabilidad de Productos en Check Point.

Índice
  • La anatomía de un objetivo de ciberseguridad
  • La anatomía de un objetivo de ciberseguridad

    Los investigadores de Check Point utilizaron varios exploits comunes para obtener sus resultados, que diferían entre la aplicación móvil OKCupid y el sitio web.

    La aplicación móvil de OKCupid hace un uso extensivo de los enlaces profundos, lo que implica enviar a un usuario directamente a una página enlazada internamente sin que se dé cuenta. Es una excelente manera de ayudar a los usuarios a navegar por una aplicación web, pero es fácilmente explotable.

    VER: Política de mejores prácticas de certificados SSL (Premium de TechRepublic)

    En el caso de la aplicación móvil de OKC, un atacante puede usar enlaces profundos maliciosos que usan el esquema personalizado de OKCupid para engañar a la aplicación para que envíe el enlace junto con las cookies del usuario. Los evaluadores de Check Point pudieron abrir una ventana del navegador web en la aplicación con JavaScript habilitado.

    La aplicación móvil también es vulnerable a los ataques de secuencias de comandos entre sitios (XSS), lo que permite que un atacante inyecte su propio código en el enlace que recupera la configuración del perfil de usuario. Esto forma la segunda parte del ataque: después de abrir un navegador web con JavaScript ejecutándose e inyectando código XSS, el atacante puede pasar a cargar JavaScript desde su propio servidor.

    La carga útil creada por Check Point, como se mencionó anteriormente, pudo robar tokens de autenticación, ID de usuario e información de identificación personal, como direcciones de correo electrónico, datos de perfil, respuestas a preguntas durante el registro, preferencias de sitios y aplicaciones, etc.

    Estos detalles personales "no solo son geniales para los amores potenciales. También son muy apreciados por los piratas informáticos, ya que son el 'estándar de oro' de la información para usar en ataques dirigidos o para revender a otros grupos de piratas informáticos porque permiten que los intentos de ataque sean muy convincente para los objetivos desprevenidos”, dijo Check Point en su informe.

    Check Point concluye que su investigación apunta a serios riesgos al usar incluso las aplicaciones más establecidas y populares en un mercado como el de las citas en línea: a pesar de haber existido durante años, OKCupid todavía pasó por alto elementos esenciales para la privacidad y seguridad del usuario.

    “La necesidad urgente de privacidad y seguridad de los datos se vuelve mucho más crucial cuando se almacena, administra y analiza tanta información privada e íntima en una sola aplicación”, dice el informe.

    Afortunadamente para los usuarios de OKCupid, el sitio de citas confirmó que Check Point compartió la información con ellos antes de que alguien fuera víctima de un ataque similar, y los problemas se resolvieron dentro de las 48 horas posteriores a la notificación.

    “Estamos agradecidos con socios como Check Point que, junto con OkCupid, han puesto la seguridad y la privacidad de nuestros usuarios en primer lugar”, dijo OKCupid en un comunicado.