Ultima modifica da un moderatore:
1 Introduzione
La applicazioni di dating dove tutti cercano un partner o altro, sono piene di informazioni personali che potrebbero essere interessanti per qualche malintenzionato.
La sicurezza di queste app è essenziale dal momento che vengono condivise informazioni personali e messaggi privati, un data breach in una di queste piattaforme potrebbe portare a gravi conseguenze.
La sicurezza di queste app è essenziale dal momento che vengono condivise informazioni personali e messaggi privati, un data breach in una di queste piattaforme potrebbe portare a gravi conseguenze.
2 Il caso dell'app Feeld
Una vulnerabilità è stata scoperta dagli esperti di Fortbridge e in questo articolo viene analizzata la "sicurezza" dell'app di dating Feeld, molto simile a tinder e altre applicazioni di incontri.
Feeld dating app - Your nudes and data were publicly available
Discover critical Feeld app vulnerabilities from our pentest. See how flaws in security controls expose personal data and learn key fixes.
fortbridge.co.uk
Il problema è molto grave in quanto possono essere ottenute e pubblicate informazioni riservate.
Sfruttando la vulnerabilità denominata "Broken access control" è possibile:
- accedere ai dati degli utenti
- vedere le foto scambiate in chat (anche quelle con un timer di visione)
- leggere e cancellare i messaggi delle chat di qualsiasi utente
- modificare le informazioni pubbliche di un profilo
- inviare messaggi in una chat
- ricevere like da qualsiasi profilo
La Broken access control non è da sottovalutare, infatti è al primo posto della OWASP top10 ed è quindi attualmente la vulnerabilità più diffusa al mondo.
I dati ci dicono che è presente nel 94% delle applicazioni testate e che non riguarda solo l'app Feeld ma probabilmente altre app di dating o social dove sono presenti informazioni riservate che non si vogliono pubblicare come ad esempio foto e video.
I pentester di fortbridge sono riusciti ad ottenere le informazioni intercettando e modificando opportunamente le richieste http tramite il tool BURP suite.
I dati ci dicono che è presente nel 94% delle applicazioni testate e che non riguarda solo l'app Feeld ma probabilmente altre app di dating o social dove sono presenti informazioni riservate che non si vogliono pubblicare come ad esempio foto e video.
I pentester di fortbridge sono riusciti ad ottenere le informazioni intercettando e modificando opportunamente le richieste http tramite il tool BURP suite.
3 Il pentest in breve
Collegandosi alla pagina che ci mostra chi ha messo like al profilo è possibile ottenere tutte le informazioni degli utenti che hanno lasciato un like: età, distanza, le foto di profilo pubbliche salvate sul portale res.cloudinary.com e il parametro streamUserId (fondamentale per reperire altre informazioni in seguito).
Nel caso specifico l'utente non è premium ma base e le informazioni pubbliche dei profili che mettono like non dovrebbero essere visibili e le foto sfuocate ma grazie a Burp è possibile aggirare il filtro per i profili non premium.
Nel caso specifico l'utente non è premium ma base e le informazioni pubbliche dei profili che mettono like non dovrebbero essere visibili e le foto sfuocate ma grazie a Burp è possibile aggirare il filtro per i profili non premium.
Con il valore del parametro streamUserId, che come indicato dall'esempio catturando le request dal menù discover profiles, si possono leggere i messaggi privati del relativo profilo associato all'id.
cercando la stringa “text” nella barra di ricerca si vedono tutti i messaggi inviati e ricevuti dalla vittima (nel caso specifico "Chloe"):
Oltre a leggere i messaggi, i pentester di Fortbridge sono riusciti a inviare, modificare e cancellare messaggi privati di qualsiasi utente di cui avessero lo streamUserid.
Sempre tramite il tool Burp suite sono stati in grado di caricare foto e video e a visualizzarli nelle chat private anche se i media erano impostati per avere la visualizzazione temporanea.
Infine dal test è stato possibile anche modificare tutte le informazioni pubbliche di profilo come testo di presentazione, età, orientamento e data di nascita,
ricevere like da altri utenti e visualizzare i match sempre di altri profili.
4 Conclusioni
In questo caso Feeld una volta preso atto delle vulnerabilità scoperte avrebbe chiesto a Fortbridge di posticipare di qualche mese la pubblicazione dei risultati del test per avere il tempo di rilasciare una patch.
Il 16 agosto Feeld avrebbe patchato le falle di sicurezza autorizzando la pubblicazione dei risultati del penetration test.
Nonostante questo su play store e app store non sono menzionati update riguardanti la sicurezza e non sono state comunicate le azioni prese per patchare il bug.
Il consiglio migliore è di eliminare il profilo e tutti i dati personali in attesa di una nuova versione dell'applicazione e che siano aggiornate le informazioni su update di sicurezza.
Per quanto riguarda le altre applicazioni simili il consiglio è quello di limitare la condivisione dei dati personali ed evitare di caricare foto private.
