您现在的位置是:首页 >综合资讯 > 2021-05-01 18:32:51 来源:

Android约会应用程序漏洞可能打开了网络钓鱼攻击的大门

导读 根据安全研究人员的说法,Android版流行的在线约会应用程序中发现的安全漏洞可能允许黑客访问用户名,密码和个人信息。 网络安全公司Checkm

根据安全研究人员的说法,Android版流行的在线约会应用程序中发现的安全漏洞可能允许黑客访问用户名,密码和个人信息。

网络安全公司Checkmarx的研究人员发现了Android版本的OKCupid约会应用程序(谷歌Play商店列出的下载量超过1000万)的缺陷。研究人员之前已经披露过可能被另一个约会应用程序中的黑客滥用的漏洞。

Android约会应用程序漏洞可能打开了网络钓鱼攻击的大门

研究人员发现,浏览器中内置的 WebView包含可被攻击者利用的漏洞。

虽然应用程序中的大多数链接都会在用户选择的浏览器中打开,但研究人员发现可以模仿应用程序中打开的某些链接。

Checkmarx的应用安全研究负责人Erez Yalon告诉ZDNet,“其中一种类型的链接非常容易模仿,具有基本技能的攻击者能够做到这一点并说服OKCupid这是一个安全的链接。”

使用这个,研究人员发现他们可以创建一个虚假版本的OKCupid登录页面并使用虚假配置文件,使用应用程序的消息服务进行网络钓鱼攻击,邀请目标用户点击链接

用户需要输入其登录详细信息才能查看消息内容,并将其凭据交给攻击者。并且由于内部链接不显示URL,因此用户不会指示他们已登录到应用程序的虚假版本。

使用受害者的用户名和密码被盗后,攻击者可以登录其帐户并查看其个人资料中的所有信息,可能会识别用户身份。鉴于约会应用程序的亲密性,可能包括用户不希望公开的信息。

“我们不仅可以看到用户的名称和密码以及他们发送的消息,还可以看到所有内容:我们可以关注他们的地理位置,他们正在寻找的关系,性取向 - 无论OKCupid对您有什么影响,攻击者都可以获得对你说,“亚隆说。

他们发现,攻击者也可能将制作网络钓鱼链接与API和JavaScript功能结合起来,这些功能无意中暴露给用户。通过这样做,可以删除加密并将连接从HTTPS降级到HTTP - 它允许进行中间人攻击。

通过这样做,攻击者可以看到用户正在做的一切,模仿受害者,更改消息 - 甚至跟踪受害者的地理位置。

该安全公司在去年11月向OKCupid所有者Match Group披露了调查结果,并在不久之后推出了更新以消除漏洞。Yalon称赞Match Group“非常敏感”。

一位OKCupid发言人告诉ZDNet“Checkmarx提醒我们Android应用程序中存在一个安全漏洞,我们修补并解决了这个问题。我们还检查了这个问题在移动设备和iOS上都不存在,”

Checkmarx强调没有真正的用户被利用作为他们研究的一部分,虽然没有想到攻击已经在野外使用,Yalon指出“我们无法真正说出 - 因为它隐藏得如此之好。 “