שרה
תוכן עניינים:
לפי מה שניתן לקרוא בעמוד האינטרנט הבא, חוקר בריטי דיווח על מספר רב של ליקויי אבטחה באפליקציית Sarahah, שהיא כל הזעם בקרב בני נוער. שרה, בערבית, פירושה כנות. ולמרות שרבים משתמשים באפליקציה כדי להטריד או לתרגל בריונות, מטרת האפליקציה הפוכה בדיוק: להחמיא לאחינו. בעיות האבטחה שאליהן הם מתייחסים מוגבלות אך ורק לגרסת שולחן העבודה של אפליקציית Sarahah, מה שמותיר את הגרסה הניידת שלה חופשית לעת עתה.
הרבה באגים פוגעים בגרסת האינטרנט של Sarahah
סקוט הלמה, חוקר, גילה שקל מאוד לשבור את הגנת וירוס CSRF באתר האינטרנט של Sarahah. נגיף ה-CSRF מזיק ומסוכן מאוד, מסוגל להשתלט על החשבון שלנו, לבצע פעולות שאינן קשורות לשימוש שלנו. תוקף, מסביר הלמה, יכול להשתמש בחשבון שלנו כדי לסמן חשבונות לא ידועים אחרים, כדי להרוויח כלכלית.
הוא גם מציין שבאוגוסט האחרון חוקר אחר בשם רוני דאס גילה אף הוא עוד פרצות אבטחה. באופן ספציפי, הוא מצא XSS פגיעות. בקיצור: האקר עלול להכניס קוד זדוני ל-HTML של הדף של Sarahah, שעלול לכלול וירוסים ותוכנות ריגול.
בעיות נוספות: Helme זיהה שגיאות חמורות בכותרת האבטחה, המונעת שימוש בפרוטוקול אבטחה HSTS. זהו כלי המשמש יותר ויותר כדי להילחם נגד חטיפת עוגיות והאפשרות להתקפה תוך ניצול גרסאות ישנות של האינטרנט. תפקידו של הלמה הוא לנסות לגרום לשרה להגן על המשתמשים שלה כראוי. כפי שהרשת מצהירה, המתחרה הגדול שלו, Ask.fm, הוא אתר רצוף שגיאות ופגמי אבטחה. אז מה יותר טוב משרה ללמוד מהכישלונות של זה ולהפוך לדף אינטרנט בטוח.
הטרדה והרס: סכנת שרה ברשת
בנוגע למסנן האבטחה והאנטי הטרדה, גם לתחקירן יש מה לומר. הוא שם לב, למשל, במשפט 'הייתי הורג בשביל צ'יזבורגר', האפליקציה תמחק את הפוסט, מכיוון שהיא מוצאת מילה שלילית, 'להרוג'.עם זאת, אם הוצב פסיק לאחר 'יהרוג', האפליקציה תתעלם ממנו. כן, זה לא נכון מבחינה דקדוקית, אבל ההודעה תעבור בכל מקרה.
וכישלונות נוספים: לדף של שרה אין מגבלות על המהירות שבה משתמשים בו כותבים תגובות, כך שכל אחד יכול לסבול מהפצצת הטרדה, עם שורת תסריט פשוטה. לשרה גם אין שום פונקציית מחיקה המונית, אז אם אנחנו קורבנות של הפצצת הערות, עלינו למחוק אותן אחת אחת.
בנוסף, כדי לאפס את הסיסמה בשרה, האתר מבקש מהמשתמש רק את כתובת המייל המשויכת לחשבון. לאחר המבוקש, המערכת מייצרת אחד חדש ושולחת אותו אוטומטית למשתמש. במובן זה, האקר יכול לשנות שורת סקריפט כך שהסיסמה תשתנה בכל רגע, וכך יהיה בלתי אפשרי לבעל החשבון לגשת אליה.אותו סקריפט יכול לשמש גם כדי להפוך את הגישה לחשבון לבלתי מוצלחת, גם אם הסיסמה תקפה. Sarahah נועלת את כל חשבונות המשתמש שיש להם יותר מ-10 ניסיונות כניסה.
החוקרת יצרה קשר מאוחר יותר עם שרה כדי ליידע אותה על כל מפולת הפרצות האבטחה בגרסת האינטרנט שלה. חקירה שלקחה חודשים מזמנו ושיכולה סוף סוף להפוך את אפליקציית שרה לקהילה נקייה מהטרדות ומתקפות סייבר בכוונה תחילה.
