Пользователям Android OkCupid настоятельно рекомендуется обновить приложение после того, как в нем были обнаружены недостатки безопасности, которые могут позволить хакерам украсть учетные данные.
Исследователи из израильской охранной фирмы Checkmarx забили тревогу, когда обнаружили эксплойт, позволяющий хакерам воспользоваться зависимостью приложения от внешних браузеров.
Когда приложение OkCupid получает сообщения от других пользователей, оно делает это с помощью собственного браузера, встроенного в приложение. Хотя приложение передает большинство ссылок внешнему браузеру, исследователи обнаружили, что создать вредоносная ссылка, которая обманом заставит приложение открыть ее в собственном браузере, добавив определенную строку в URL-адрес. После открытия в приложении пользователю будет предложено ввести данные для входа в систему.
Связанный: Лучшие сайты знакомств
«У ничего не подозревающего пользователя не было абсолютно никакой возможности узнать, что это не OkCupid, а страница, выглядящая как OkCupid», — рассказал Эрез Ялон, руководитель отдела исследований безопасности Checkmarx.
Отчеты потребителей.Получив эти данные, киберпреступник может воспользоваться всеми данными, хранящимися в учетных записях знакомств (имя, адрес электронной почты, местоположение и т. д.), для кражи личных данных, банковского мошенничества или преследования. Злоумышленник может даже перехватывать сообщения между пользователями, читать личные сообщения и отслеживать их местоположение. “Пользователи не узнают, что приложение было атаковано», — сказал Ялон. «Все работало совершенно нормально, поэтому они продолжали этим пользоваться».
Исследователи были особенно встревожены, поскольку эксплойт мог стать самораспространяющимся. автоматическая отправка сообщений от одного пользователя OkCupid всем его контактам, помещая огромное количество пользователи в зоне риска.
Связанный: Лучший бесплатный антивирус
Хорошей новостью является то, что если вы используете последнюю версию, вы уже защищены. Checkmarx сообщила об уязвимости OkCupid 15 ноября 2018 года, а 4 января 2019 года было выпущено исправление. Тот же эксплойт не работает в мобильном браузере или версии iOS.
Вас беспокоит вредоносное ПО для приложений для знакомств? Дайте нам знать в Твиттере: @TrustedReviews.
Зачем доверять нашей журналистике?
Основанное в 2003 году издание Trusted Reviews существует для того, чтобы давать нашим читателям подробные, объективные и независимые советы о том, что покупать.
Сегодня у нас есть миллионы пользователей в месяц со всего мира, и мы оцениваем более 1000 продуктов в год.
