Сарахах

Према ономе што се може прочитати на Тхе Нект Веб страници, британски истраживач је пријавио бројне безбедносне пропусте у апликацији Сараха, која је веома популарна међу тинејџерима. Сараха, на арапском, значи поштење. И иако многи користе апликацију да узнемиравају или практикују малтретирање, сврха апликације је управо супротна: да дају комплименте нашим ближњима. Безбедносни проблеми на које се позивају ограничени су искључиво на десктоп верзију апликације Сарахах, остављајући њену мобилну верзију тренутно бесплатном.

Много грешака мучи веб верзију Сарахах

Сцотт Хелме, истраживач, открио је да је заштиту од ЦСРФ вируса на Сарахиној веб страници било изузетно лако разбити. ЦСРФ вирус је изузетно штетан и опасан, јер може да преузме контролу над нашим налогом, обављајући операције које нису повезане са нашом употребом. Нападач би, објашњава Хелме, могао да користи наш налог да обележи друге непознате налоге, како би финансијски профитирао.

Такође истиче да је прошлог августа други истраживач по имену Рони Дас такође открио више безбедносних рупа. Конкретно, пронашао је КССС рањивост. Укратко: хакер би могао да убаци злонамерни код у ХТМЛ Сарахине странице, који може укључивати вирусе и шпијунски софтвер.

Други проблеми: Хелме је идентификовао озбиљне грешке у безбедносном заглављу, што спречава коришћење ХСТС безбедносног протокола. Ово је алатка која се све више користи за борбу против отмице колачића и могућности напада уз коришћење предности старих верзија веба. Хелмеов посао је да покуша да натера Сараху да правилно заштити своје кориснике. Као што веб наводи, његов велики конкурент, Аск.фм, је сајт препун грешака и безбедносних недостатака. Дакле, шта је боље од Сарахе да учи из неуспеха ове и постане сигурна веб страница.

Узнемиравање и рушење: опасност од Сарахе на вебу

Што се тиче филтера безбедности и против узнемиравања, истраживач такође има шта да каже. Приметио је да би, на пример, у реченици 'Убио бих за чизбургер', апликација избрисала објаву, пошто пронађе негативну реч, 'Уби'.Међутим, ако је запета стављена после „Убио би“, апликација би то игнорисала. Да, није граматички исправно, али порука би ипак прошла.

И још промашаја: Сарахина страница нема ограничења у брзини којом њени корисници пишу коментаре, тако да свако може да претрпи бомбардовање узнемиравањем, једноставном линијом скрипте. Сараха такође нема никакву функцију масовног брисања, тако да ако смо жртве бомбардовања коментара, морамо их брисати једног по једног.

Поред тога, за ресетовање лозинке у Сарахах, веб локација од корисника тражи само адресу е-поште која је повезана са налогом. Када се то затражи, систем генерише нови и аутоматски га шаље кориснику. У том смислу, хакер би могао да промени линију скрипте тако да се лозинка мења сваког тренутка, а самим тим би власник налога био немогућ да јој приступи.Ова иста скрипта се такође може користити да приступ налогу буде неуспешан, чак и ако је лозинка важећа. Сарахах закључава све корисничке налоге који имају више од 10 покушаја пријављивања.

Истраживач је касније контактирао Сару да је обавести о свему овоме лавина кршења безбедности у њеној веб верзији. Истрага која је одузела месецима његовог времена и која коначно може учинити апликацију Сарахах заједницом без узнемиравања и предумишљаја сајбер напада.