Злоумышленники могут похитить конфиденциальную информацию, перехватить контроль над учетными записями и пр.
Команда специалистов Check Point Research провела анализ приложения для свиданий OkCupid и обнаружила ряд уязвимостей, эксплуатация которых позволяет раскрыть конфиденциальную информацию пользователей, перехватить контроль над учетными записями для выполнения различных действий без разрешения их владельцев и украсть токены аутентификации, идентификаторы и адреса электронной почты.
Исследователи в области кибербезопасности провели обратную разработку мобильного программного обеспечения и обнаружили функциональность так называемых «глубинных ссылок», позволявшую злоумышленникам отправлять вредоносные ссылки для открытия мобильного приложения. Также была обнаружена уязвимость межсайтового скриптинга, связанная с проблемами в кодировани функциональности пользовательских настроек приложения.
Злоумышленник может отправить HTTP-запрос GET и полезную XSS-нагрузку со своего собственного сервера, а затем выполнить JavaScript-код через WebView. Если жертва нажмет на вредоносную ссылку, то ее персональная информация, данные профиля, пользовательские характеристики, идентификаторы и токены авторизации могут быть скомпрометированы и отправлены на C&C-сервер злоумышленника.
Специалисты также обнаружили неправильно настроенную политику совместного использования ресурсов между разными источниками (Cross-Origin Resource Sharing, CORS) на сервере API api.OkCupid.com, позволяющую любому источнику отправлять запросы на сервер и читать ответы.
Компания Check Point Research проинформировала OkCupid о своих находках, и разработчики сразу же выпустили исправления для данных уязвимостей.