Alguns dias depois de alguns utilizadores da app ‘OkCupid’ terem dito que as suas contas foram invadidas, a Checkmarx divulgou que a app realmente apresentava riscos por causa de falhas de segurança nos MagicLinks.
Para identificar as vulnerabilidades, os investigadores mergulharam na app de encontros do Android para descobrir como os invasores poderiam aceder às informações do utilizador, incluindo informações pessoais de contacto, como aliases de email, nomes, géneros, datas de nascimento e morada.
Além disso, os investigadores descobriram que poderiam obter acesso às preferências de datting de um utilizador, por exemplo, se desejam procurar amigos novos, encontrar-se num dia especifico e se estão abertos à não monogamia.
Segundo os investigadores, a maioria das URLs que passam pela app não é vulnerável porque a OkCupid usa o WebView. No entanto, algumas URLs são designadas como MagicLink e o utilizador não tem como saber se o seu conteúdo é legítimo ou não.
According to researchers, most of the URLs that pass through the app are not vulnerable because OkCupid uses WebView, yet some URLs are designated as MagicLink, which Checkmark describes as opening “inside the main OkCupid WebView, which means that the user has no way of knowing whether its content is legitimate or not. For every MagicLink, what is shown on the screen is just part of the OkCupid application as far as the user knows.”
No entanto, nas palavras de Pedro Umbelino, o especialista que trabalhou nesta investigação, “Um MagicLink pode ser, entre outros, simplesmente uma URL que contém a string / l /.
Essencialmente, qualquer link que contenha /l/ passará como um MagicLink. Nesse sentido, qualquer URL que tenha o conteúdo /l/ irá passar na aplicação como uma MagicLink; e isso não será um problema para os hackers.
Utilizando essa sequência, um atacante pode criar uma página de phishing mal-intencionada e partilhá-la com as vítimas, na esperança que eles introduzam as suas credenciais de acesso.
Como o utilizador final não se preocupam em demasia com uma página aberta dentro da app; e uma vez que parece um comportamento legítimo; o utilizador não suspeita que o link seja realmente malicioso.
“By sending a crafted link to a malicious page, we managed to change the app’s interaction URL base from https://api.okcupid.com to our own controlled HTTP page. By changing the API endpoint to an attacker-controlled address, the attacker now permanently controls the flow of information between the victim and the API server,” researchers wrote.