I ricercatori di Check Point Software Technologies hanno rilevato seri problemi di sicurezza nelle app di incontri dopo aver dimostrato che gli aggressori avrebbero potuto avere accesso ai dati sensibili e privati su OKCupid, app gratuita di incontri online con oltre 50 milioni di utenti registrati e utilizzata in 110 Paesi.
Le app di incontri sono sicure? Le falle di OKCupid sollevano dubbi e preoccupazioni
Attraverso le vulnerabilità rilevate nelle piattaforme web e mobile di OKCupid, Check Point ha dimostrato che un hacker avrebbe potuto rubare i dati privati di un utente. I dettagli completi del profilo, i messaggi privati, l’orientamento sessuale, gli indirizzi personali e tutte le risposte fornite alle domande di profilazione di OKCupid erano infatti accessibili a un potenziale aggressore. Inoltre, i ricercatori hanno dimostrato che quest’ultimo avrebbe potuto compiere azioni dannose. Come manipolare i dati del profilo dell’utente e inviare messaggi, per conto di una vittima, senza che l’utente ne fosse a conoscenza.
Bastava un solo link dannoso
Per effettuare l’attacco, un hacker avrebbe potuto eseguire il codice dannoso nelle pagine web e mobile di OkCupid generando un unico link malevolo da inviare agli utenti. Un semplice link creato ad hoc, inviato privatamente e puntando sul romanticismo, che se aperto dalla vittima consentiva la trasmissione dei dati sensibili all’hacker.
Check Point ha delineato il metodo di attacco in tre fasi:
- Generazione di un link contenente un workload per avviare l’attacco
- Invio del link alla vittima o pubblicazione in un forum pubblico
- Dopo il clic sul link, il codice dannoso viene eseguito, con conseguente perdita dei dati
In ultima analisi, l’attacco consentiva a un aggressore di mascherarsi da vittima, per compiere qualsiasi azione che l’utente è in grado di fare e di accedere a qualsiasi dato.
“La nostra ricerca su OKCupid, una delle app più recenti e più popolari del settore, ci ha portato a sollevare alcune serie questioni sulla sicurezza delle app di incontri. Le domande fondamentali sono: ‘Quanto sono sicure le mie informazioni intime nelle app? Con quanta facilità qualcuno che non conosco può accedere alle mie foto, ai messaggi e ai dettagli più privati?’” ha dichiarato Oded Vanunu, Head of Products Vulnerability Research in Check Point. “Abbiamo imparato che le app di incontri possono essere tutt’altro che sicure. Ogni creatore e utente di un’app di questo tipo dovrebbe riflettere prima su cosa si può fare di più in materia di sicurezza. Le applicazioni con informazioni personali sensibili, come queste, si sono rivelate un bersaglio per gli hacker, da qui l’importanza vitale di renderle sicure.”
Comunicazione responsabile
I ricercatori hanno divulgato responsabilmente le loro scoperte a OKCupid, che ha riconosciuto e corretto le falle di sicurezza nei loro server.
OKCupid ha rilasciato la seguente dichiarazione: “Check Point Research ha informato gli sviluppatori di OkCupid sulle vulnerabilità esposte in questa ricerca e una soluzione è stata implementata in modo responsabile per garantire che gli utenti possano continuare a utilizzare l’app OkCupid in modo sicuro. Nessun utente è stato influenzato dalla potenziale vulnerabilità di OkCupid e siamo stati in grado di risolverla in 48 ore. Siamo grati a partner come Check Point che, con OkCupid, ha messo al primo posto la sicurezza e la privacy dei nostri utenti.”
Rimani aggiornato seguendoci su Google News!
Da non perdere questa settimana su Techprincess
🚪 La pericolosa backdoor di Linux, disastro sventato da un solo ricercatore
🎶Streaming Farms: il lato oscuro della musica, tra ascolti falsi e stream pompati
✈️Abbiamo provato DJI Avata 2: sempre più divertente!
✒️ La nostra imperdibile newsletter Caffellattech! Iscriviti qui
🎧 Ma lo sai che anche Fjona ha la sua newsletter?! Iscriviti a SuggeriPODCAST!
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
💌 Risolviamo i tuoi problemi di cuore con B1NARY
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!
