اكتشف الباحثون عددا كبيرا من عيوب OkCupid للتعارف الشعبي، في تطبيق الجوال وصفحة الويب، والذي كان من الممكن أن يسمح للمهاجمين بجمع معلومات المواعدة الحساسة للمستخدمين، أو سرقة البيانات والملفات الشخصية أو حتى إرسال رسائل من ملفاتهم الشخصية.
OkCupid هي واحدة من أشهر منصات المواعدة حول العالم، مع أكثر من 50 مليون مستخدم مسجل، تتراوح أعمار معظمهم بين 25 و 34. وجد الباحثون عيوبًا في كل من تطبيق Android للجوال وصفحة الويب الخاصة بالخدمة. وقالوا إن هذه العيوب كان من المحتمل أن تكشف عن تفاصيل الملف الشخصي الكاملة للمستخدم، والرسائل الخاصة، والتوجه الجنسي، والعناوين الشخصية وجميع الإجابات المقدمة على أسئلة التنميط الخاصة بالتطبيق.
كشف باحثو “Check Point Research” عن نتائج بحثهم لـ OKCupid الذين بدورهم قاموا بإصلاح العيوب الأمنية في خوادمهم. ولكن الثغرات الموجودة أدت إلى طرح عدد من الأسئلة الجادة بشأن أمان تطبيقات المواعدة.
عيوب OkCupid
لتنفيذ الهجوم، سيحتاج الفاعل إلى إقناع مستخدمي OkCupid بالنقر فوق ارتباط واحد ضار من أجل تنفيذ التعليمات البرمجية الخبيثة في صفحات الويب والجوال. يمكن للمهاجم إما إرسال الرابط إلى الضحية على منصة OkCupid الخاصة أو على وسائل التواصل الاجتماعي، أو نشره في منتدى عام. وبمجرد أن ينقر الضحية على الرابط الضار، تتم عملية سرقة البيانات.
السبب في ذلك هو أن نطاق OkCupid الرئيسي (https://www.OkCupid.com) كان عرضة لهجوم البرمجة النصية عبر المواقع (XSS). بعد الهندسة العكسية لتطبيق OkCupid Android Mobile (الإصدار 40.3.1 على Android 6.0.1)، وجد الباحثون أن التطبيق يتبع مخططات مخصصة عبر رابط المتصفح. وتمكن الباحثون من إدخال شفرة جافا سكريبت الضارة في معلمة “القسم” الخاصة بإعدادات ملف تعريف المستخدم في وظيفة الإعدادات (https://www.OkCupid.com/settings؟section= <value>).
يمكن للمهاجمين استخدام حمولة XSS التي تقوم بتحميل ملف البرنامج النصي من خادم يتحكم به المهاجم، فيما يمكن استخدام JavaScript لاستخراج البيانات. يمكن استخدام هذا لسرقة الرموز المميزة للمصادقة، وتفاصيل الحسابات، وملفات تعريف الارتباط، بالإضافة إلى بيانات الحساب الحساسة مثل عناوين البريد الإلكتروني والرسائل الخاصة المرسلة إلى الآخرين. ويتيح الهجوم في نهاية المطاف للمهاجم أن يتنكر في شخصية المستخدم وتنفيذ أي إجراءات يقوم بها عادة.