Los atacantes podrían espiar de forma remota la información privada de los usuarios
Investigadores de ciberseguridad revelaron hoy varios problemas de seguridad en la popular plataforma de citas en línea OkCupid que podrían permitir a los atacantes espiar de forma remota la información privada de los usuarios o realizar acciones maliciosas en nombre de las cuentas objetivo.
Según un informe, los investigadores de Check Point descubrieron que las fallas en las aplicaciones web y Android de OkCupid podrían permitir el robo de tokens de autenticación de los usuarios, IDs de usuarios y otra información confidencial como direcciones de correo electrónico, preferencias, orientación sexual y otros datos privados.
Después que los investigadores de Check Point compartieron de manera responsable sus hallazgos con OkCupid, la compañía propiedad de Match Group solucionó los problemas y afirmó que "ni un solo usuario se vio afectado por la potencial vulnerabilidad".
La cadena de defectos
Los defectos se identificaron como parte de la ingeniería inversa de la aplicación de Android OkCupid versión 40.3.1, que se lanzó el 29 de abril a principios de este año. Desde entonces, ha habido 15 actualizaciones de la aplicación con la versión más reciente (43.3.2) que llegó ayer a Google Play Store.
Check Point dijo que el uso de enlaces profundos por parte de OkCupid podría permitir que un mal actor envíe un enlace personalizado definido en el archivo de manifiesto de la aplicación para abrir una ventana del navegador con JavaScript habilitado. Se encontró que dicha solicitud devuelve las cookies de los usuarios.
Los investigadores también descubrieron un defecto separado en la funcionalidad de configuración de OkCupid que lo hace vulnerable a un ataque XSS al inyectar código JavaScript malicioso utilizando el parámetro "section" de la siguiente manera: "https://www.okcupid.com/settings?section=value"
El ataque XSS mencionado anteriormente se puede aumentar aún más ejecutando una carga útil de JavaScript desde un servidor controlado por el atacante para robar tokens de autenticación, información de perfil y preferencias del usuario, y transmitir los datos acumulados al servidor.
"Las cookies de los usuarios se envían al servidor [OkCupid] ya que la carga útil XSS se ejecuta en el contexto de WebView de la aplicación", dijeron los investigadores, describiendo su método para capturar la información del token. "El servidor responde con un gran JSON que contiene la identificación de los usuarios y el token de autenticación".
Una vez en posesión de la identificación de usuario y el token, un adversario puede enviar una solicitud al punto final "https://www.OkCupid.com:443/graphql" para obtener toda la información asociada con el perfil de la víctima (dirección de correo electrónico, orientación sexual, estatura, estado familiar y otras preferencias personales), así como llevar a cabo acciones en nombre de la persona comprometida, como enviar mensajes y cambiar los datos del perfil.
Sin embargo, no es posible un secuestro completo de la cuenta ya que las cookies están protegidas con HTTPOnly, lo que mitiga el riesgo de que un script del lado del cliente acceda a la cookie protegida.
Por último, un descuido en la política de intercambio de recursos de origen cruzado (CORS) del servidor API podría haber permitido a un atacante elaborar solicitudes de cualquier origen (por ejemplo, "https://okcupidmeethehacker.com") para obtener la identificación de usuario y el token de autenticación y, posteriormente, utilizar esa información para extraer detalles de perfil y mensajes utilizando los puntos finales de "profile" y "messages" de la API.
¿Recuerdas las amenazas de violación y chantaje de Ashley Madison?
Aunque las vulnerabilidades no fueron explotadas en la naturaleza, el episodio es otro recordatorio de cómo los malos actores podrían haber aprovechado las fallas para amenazar a las víctimas con extorsión y chantaje.
Después que Ashley Madison, un servicio de citas para adultos que atiende a personas casadas que buscan parejas para relaciones, fuese pirateado en 2015 y se publicó la información sobre sus 32 millones de usuarios en la web oscura, condujo a un aumento en las campañas de phishing y sextortion, y los chantajistas enviaron correos electrónicos personalizados a los usuarios, amenazando con revelar su membresía a amigos y familiares a menos que pagasen dinero.
"La extrema necesidad de privacidad y seguridad de los datos se vuelve mucho más crucial cuando se almacena, administra y analiza tanta información privada e íntima en una aplicación", concluyeron los investigadores. "La aplicación y la plataforma se crearon para unir a las personas, pero, por supuesto, a dónde van las personas, los delincuentes las seguirán en busca de elecciones fáciles".