I ricercatori di Check Point Software Technologies hanno rilevato seri problemi di sicurezza nelle app di incontri dopo aver dimostrato che gli aggressori avrebbero potuto avere accesso ai dati sensibili e privati su OKCupid, app gratuita di incontri online con oltre 50 milioni di utenti registrati e utilizzata in 110 Paesi.

Attraverso le vulnerabilità rilevate nelle piattaforme web e mobile di OKCupid, Check Point ha dimostrato che un hacker avrebbe potuto rubare i dati privati di un utente di OKCupid. I dettagli completi del profilo, i messaggi privati, l’orientamento sessuale, gli indirizzi personali e tutte le risposte fornite alle domande di profilazione di OKCupid erano infatti accessibili a un potenziale aggressore.

Inoltre, i ricercatori hanno dimostrato che quest’ultimo avrebbe potuto compiere azioni dannose, come manipolare i dati del profilo dell’utente e inviare messaggi, per conto di una vittima, senza che l’utente ne fosse a conoscenza. OKCupid, come tutte le altre app di incontri, nell’ultimo periodo ha riscontrato un boom non indifferente, con l’aumento di download, complici le misure di distanziamento sociale e il lockdown.

Per effettuare l’attacco, un hacker avrebbe potuto eseguire il codice dannoso nelle pagine web e mobile di OkCupid generando un unico link malevolo da inviare agli utenti.

Un semplice link creato ad hoc, anche inviato privatamente e puntando sul romanticismo, se aperto dalla vittima, consentiva la trasmissione dei dati sensibili all’hacker. L’attacco a OKCupid si basava su tre vulnerabilità fondamentali:

  • Deep links: attraverso il browser era possibile invocare degli intent (azioni) specifici direttamente sull’applicazione, come l’esecuzione di codice JavaScript oppure di un link malevolo
  • Reflected Cross-Site Scripting (XSS): tramite la sezione “User settings” dell’applicazione è stato possibile eseguire una richiesta HTTP GET che iniettasse un codice non verificato
  • Misconfiguration: un’errata gestione delle policy utente poteva far sì che un malintenzionato potesse recuperare i dati sensibili degli utenti, grazie al mancato controllo della validità dell’origine di una possibile richiesta.

Check Point ha delineato il metodo di attacco in tre fasi:

  1. Generazione di un link contenente un workload per avviare l’attacco
  2. Invio del link alla vittima o pubblicazione in un forum pubblico
  3. Dopo il clic sul link, il codice dannoso viene eseguito, con conseguente perdita dei dati

In ultima analisi, l’attacco consentiva a un aggressore di mascherarsi da vittima, per compiere qualsiasi azione che l’utente è in grado di fare e di accedere a qualsiasi dato.

“La nostra ricerca su OKCupid, una delle app più recenti e più popolari del settore, ci ha portato a sollevare alcune serie questioni sulla sicurezza delle app di incontri. Le domande fondamentali sono: ‘Quanto sono sicure le mie informazioni intime nelle app? Con quanta facilità qualcuno che non conosco può accedere alle mie foto, ai messaggi e ai dettagli più privati?’” ha dichiarato Oded Vanunu, Head of Products Vulnerability Research in Check Point“Abbiamo imparato che le app di incontri possono essere tutt’altro che sicure. Ogni creatore e utente di un’app di questo tipo dovrebbe riflettere prima su cosa si può fare di più in materia di sicurezza. Le applicazioni con informazioni personali sensibili, come queste, si sono rivelate un bersaglio per gli hacker, da qui l’importanza vitale di renderle sicure.”

I ricercatori hanno divulgato responsabilmente le loro scoperte a OKCupid, che ha riconosciuto e corretto le falle di sicurezza nei loro server.

OKCupid ha rilasciato la seguente dichiarazione: “Check Point Research ha informato gli sviluppatori di OkCupid sulle vulnerabilità esposte in questa ricerca e una soluzione è stata implementata in modo responsabile per garantire che gli utenti possano continuare a utilizzare l’app OkCupid in modo sicuro. Nessun utente è stato influenzato dalla potenziale vulnerabilità di OkCupid e siamo stati in grado di risolverla in 48 ore. Siamo grati a partner come Check Point che, con OkCupid, ha messo al primo posto la sicurezza e la privacy dei nostri utenti.”

L’esempio di OKCupid potrebbe essere solamente un caso isolato come invece potrebbe portare alla scoperta di numerose altre app di incontri che sono vulnerabili e potenzialmente pericolose per gli utenti.

Di Marco Nisticò

Sviluppatore informatico, cerco sempre di stare al passo con i tempi in un mondo ormai circondato dalla tecnologia.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.