Fallos de seguridad en la versión de Android de OkCupid permiten la lectura de mensajes privados

Investigadores de ciberseguridad revelaron varios problemas de seguridad en la popular plataforma de citas en línea OkCupid que podrían permitir a los atacantes espiar de forma remota la información privada de los usuarios o realizar acciones maliciosas en nombre de las cuentas objetivo.

Según un informe de Check Point descubrieron que los fallos en las aplicaciones Android y web de OkCupid podrían permitir el robo de tokens de autenticación de usuarios, ID de usuarios y otra información confidencial, como direcciones de correo electrónico, preferencias y orientación sexual.

Después de que compartieran de manera responsable sus hallazgos con OkCupid, la compañía propiedad de Match Group solucionó los problemas y afirmó que «ni un solo usuario se vio afectado por la vulnerabilidad potencial».

La cadena de errores

Los fallos de seguridad se identificaron como parte del proceso de reversing llevado a cabo sobre la aplicación de Android OkCupid versión 40.3.1 que se lanzó el 29 de abril de este mismo año. Desde entonces, ha habido 15 actualizaciones de la aplicación con la versión más reciente (43.3.2). Check Point dijo que el uso de deep links de OkCupid podría permitir que un actor malicioso envíe un enlace personalizado definido en el archivo «manifest» de la aplicación para abrir una ventana del navegador con JavaScript habilitado. Se encontró que dicha solicitud devuelve las cookies de los usuarios.

Los investigadores también descubrieron otro fallo en la funcionalidad de configuración de OkCupid que lo hace vulnerable a un ataque XSS en el parámetro «section» de la URL, como vemos a continuación: «https://www.okcupid.com/settings?section=value»

El ataque XSS mencionado anteriormente se puede utilizar para robar tokens de autenticación, información de perfil y preferencias del usuario, y transmitir los datos acumulados a un servidor controlado por el atacante.

«Las cookies de los usuarios se envían al servidor [OkCupid] ya que el XSS se ejecuta en el contexto de WebView de la aplicación. El servidor responde con un gran JSON que contiene el ID de usuario y el token de autenticación»

Explican los investigadores

Una vez que el atacante posee el ID de usuario y el token de autenticación, puede enviar una solicitud al endpoint: «https://www.okcupid.com/graphql» para obtener toda la información asociada con el perfil de la víctima (dirección de correo electrónico, orientación sexual, estatura, estado familiar y otras preferencias personales), así como llevar a cabo acciones en nombre de la persona comprometida, como enviar mensajes y cambiar los datos del perfil.

Vídeo de ejemplo del equipo de Check Point:

Por último, un descuido en la política de intercambio de recursos de origen cruzado (CORS) del servidor API permitía a un atacante elaborar solicitudes de cualquier origen (por ejemplo, «https://okcupidmeethehacker.com») para comunicarse con el ID de usuario y token de autenticación, y posteriormente, usar esa información para extraer detalles de perfil y mensajes utilizando los endpoints de «perfil» y «mensajes» de la API.

Más información:

Hacker, 22, seeks LTR with your data: vulnerabilities found on popular OkCupid dating app

Comparte en tus redes: