Онлайн
Alvaros
.
- Регистрация
- 14.05.16
- Сообщения
- 21.452
- Реакции
- 101
- Репутация
- 204
Команда специалистов Check Point Research
Исследователи в области кибербезопасности провели обратную разработку мобильного программного обеспечения и обнаружили функциональность так называемых «глубинных ссылок», позволявшую злоумышленникам отправлять вредоносные ссылки для открытия мобильного приложения. Также была обнаружена уязвимость межсайтового скриптинга, связанная с проблемами в кодировани функциональности пользовательских настроек приложения.
Злоумышленник может отправить HTTP-запрос GET и полезную XSS-нагрузку со своего собственного сервера, а затем выполнить JavaScript-код через WebView. Если жертва нажмет на вредоносную ссылку, то ее персональная информация, данные профиля, пользовательские характеристики, идентификаторы и токены авторизации могут быть скомпрометированы и отправлены на C&C-сервер злоумышленника.
Специалисты также обнаружили неправильно настроенную политику совместного использования ресурсов между разными источниками (Cross-Origin Resource Sharing, CORS) на сервере API api.OkCupid.com, позволяющую любому источнику отправлять запросы на сервер и читать ответы.
Компания Check Point Research проинформировала OkCupid о своих находках, и разработчики сразу же выпустили исправления для данных уязвимостей.
Источник:
You must be registered for see links
анализ приложения для свиданий OkCupid и обнаружила ряд уязвимостей, эксплуатация которых позволяет раскрыть конфиденциальную информацию пользователей, перехватить контроль над учетными записями для выполнения различных действий без разрешения их владельцев и украсть токены аутентификации, идентификаторы и адреса электронной почты.Исследователи в области кибербезопасности провели обратную разработку мобильного программного обеспечения и обнаружили функциональность так называемых «глубинных ссылок», позволявшую злоумышленникам отправлять вредоносные ссылки для открытия мобильного приложения. Также была обнаружена уязвимость межсайтового скриптинга, связанная с проблемами в кодировани функциональности пользовательских настроек приложения.
Злоумышленник может отправить HTTP-запрос GET и полезную XSS-нагрузку со своего собственного сервера, а затем выполнить JavaScript-код через WebView. Если жертва нажмет на вредоносную ссылку, то ее персональная информация, данные профиля, пользовательские характеристики, идентификаторы и токены авторизации могут быть скомпрометированы и отправлены на C&C-сервер злоумышленника.
Специалисты также обнаружили неправильно настроенную политику совместного использования ресурсов между разными источниками (Cross-Origin Resource Sharing, CORS) на сервере API api.OkCupid.com, позволяющую любому источнику отправлять запросы на сервер и читать ответы.
Компания Check Point Research проинформировала OkCupid о своих находках, и разработчики сразу же выпустили исправления для данных уязвимостей.
Источник:
You must be registered for see links