Sara

Secondo quanto si legge sulla pagina The Next Web, un ricercatore britannico ha segnalato numerose falle di sicurezza nell'applicazione Sarahah, che spopola tra gli adolescenti. Sarahah, in arabo, significa onestà. E sebbene molti utilizzino l'applicazione per molestare o praticare il bullismo, lo scopo dell'applicazione è esattamente l'opposto: complimentarsi con i nostri simili. I problemi di sicurezza a cui si riferiscono sono limitati esclusivamente alla versione desktop dell'applicazione Sarahah, lasciando per il momento gratuita la sua versione mobile.

Molti bug affliggono la versione web di Sarahah

Scott Helme, un ricercatore, ha scoperto che la protezione antivirus CSRF sul sito Web di Sarahah era estremamente facile da violare. Il virus CSRF è tremendamente nocivo e pericoloso, potendo prendere il controllo del nostro account, compiendo operazioni estranee al nostro utilizzo. Un utente malintenzionato, spiega Helme, potrebbe utilizzare il nostro account per contrassegnare altri account sconosciuti, al fine di trarne profitto finanziario.

Sottolinea inoltre che lo scorso agosto anche un altro ricercatore di nome Rony Das ha scoperto altre falle nella sicurezza. Nello specifico, ha rilevato una Vulnerabilità XSS. In breve: un hacker potrebbe inserire codice dannoso nell'HTML della pagina di Sarahah, che potrebbe includere virus e spyware.

Altri problemi: Helme ha identificato gravi errori nell'intestazione di sicurezza, che impedisce l'uso di un protocollo di sicurezza HSTS. Si tratta di uno strumento sempre più utilizzato per contrastare l'hijacking dei cookie e la possibilità di un attacco che si avvalga di vecchie versioni del web. Il compito di Helme è cercare di convincere Sarahah a proteggere adeguatamente i suoi utenti. Come afferma il web, il suo grande concorrente, Ask.fm, è un sito pieno di errori e falle di sicurezza. Quindi, cosa c'è di meglio di Sarahah per imparare dai fallimenti di questo e diventare una pagina web sicura.

Molestie e smontaggi: il pericolo di Sarahah sul web

Per quanto riguarda la sicurezza e il filtro antimolestie, anche il ricercatore ha qualcosa da dire. Ha notato che, ad esempio, nella frase "Ucciderei per un cheeseburger", l'applicazione cancellerebbe il post, poiché trova una parola negativa, "Kill".Tuttavia, se viene inserita una virgola dopo "Ucciderebbe", l'applicazione la ignorerebbe. Sì, non è grammaticalmente corretto, ma il messaggio passerebbe comunque.

E ancora fallimenti: la pagina di Sarahah non ha limiti sulla velocità con cui i suoi utenti scrivono commenti, quindi chiunque può subire un bombardamento di molestie, con una semplice riga di script. Sarahah inoltre non ha alcuna funzione di eliminazione di massa, quindi se siamo vittime di un bombardamento di commenti, dobbiamo eliminarli uno per uno.

Inoltre, per reimpostare la password in Sarahah, il sito web chiede all'utente solo l'indirizzo email associato all'account. Una volta richiesto, il sistema ne genera uno nuovo e lo invia automaticamente all'utente. In questo senso, un hacker potrebbe modificare una riga di script in modo che la password cambi ogni momento, e quindi sarebbe impossibile per il proprietario dell'account accedervi.Questo stesso script potrebbe essere utilizzato anche per impedire l'accesso all'account, anche se la password è valida. Sarahah blocca tutti gli account utente che hanno più di 10 tentativi di accesso.

Il ricercatore ha successivamente contattato Sarahah per informarla di tutta questa valanga di violazioni della sicurezza nella sua versione web. Un'indagine che ha richiesto mesi del suo tempo e che può finalmente rendere l'applicazione Sarahah una community libera da molestie e attacchi informatici premeditati.