Sarahah

Enligt vad som kan läsas på The Next Web-sidan har en brittisk forskare rapporterat om många säkerhetsbrister i Sarahah-applikationen, vilket är på topp bland tonåringar. Sarahah, på arabiska, betyder ärlighet. Och även om många använder applikationen för att trakassera eller utöva mobbning, är syftet med applikationen precis det motsatta: att komplimentera våra medmänniskor. Säkerhetsproblemen som de hänvisar till är uteslutande begränsade till skrivbordsversionen av Sarahah-applikationen, vilket gör att dess mobilversion är fri för tillfället.

Många buggar plågar webbversionen av Sarahah

Scott Helme, en forskare, fann att CSRF-virusskyddet på Sarahahs webbplats var extremt lätt att bryta. CSRF-viruset är oerhört skadligt och farligt, eftersom det kan ta kontroll över vårt konto, utföra operationer som inte är relaterade till vår användning. En angripare, förklarar Helme, skulle kunna använda vårt konto för att bokmärka andra okända konton, för att tjäna ekonomiskt.

Han påpekar också att i augusti förra året upptäckte en annan forskare vid namn Rony Das också fler säkerhetshål. Specifikt hittade den en XSS-sårbarhet. Kort sagt: en hackare kan infoga skadlig kod i HTML-koden på Sarahahs sida, vilket kan inkludera virus och spionprogram.

Övriga problem: Helme identifierade allvarliga fel i säkerhetshuvudet, vilket förhindrar användningen av ett HSTS-säkerhetsprotokoll. Detta är ett verktyg som i allt högre grad används för att bekämpa kapning av cookies och möjligheten till en attack som utnyttjar gamla versioner av webben. Helmes jobb är att försöka få Sarahah att skydda sina användare ordentligt. Som webben säger är dess stora konkurrent, Ask.fm, en sida full av fel och säkerhetsbrister. Så vad passar bättre än Sarahah att lära sig av misslyckandena i denna och bli en säker webbsida.

Trakasserier och rivning: faran med Sarahah på webben

Angående filtret för säkerhet och anti-trakasserier har forskaren också en del att säga. Han har märkt att till exempel i meningen "Jag skulle döda för en cheeseburgare" skulle applikationen radera inlägget, eftersom det hittar ett negativt ord, "Döda".Men om ett kommatecken placerades efter 'Skulle döda', skulle programmet ignorera det. Ja, det är inte grammatiskt korrekt, men meddelandet skulle komma igenom ändå.

Och fler misslyckanden: Sarahahs sida har inga gränser för hur snabbt användarna skriver kommentarer, så vem som helst kan utsättas för ett bombardemang av trakasserier, med en enkel rad med manus. Sarahah har inte heller någon massraderingsfunktion, så om vi offer för ett kommentarbombardement måste vi radera dem en efter en.

Dessutom, för att återställa lösenordet i Sarahah, ber webbplatsen bara användaren om den e-postadress som är kopplad till kontot. När det efterfrågas genererar systemet en ny och skickar den automatiskt till användaren. I detta avseende kan en hackare ändra en skriptrad så att lösenordet ändras varje ögonblick, och därmed skulle det vara omöjligt för ägaren av kontot att komma åt det.Samma skript kan också användas för att göra åtkomst till kontot misslyckad, även om lösenordet är giltigt. Sarahah låser alla användarkonton som har mer än 10 inloggningsförsök.

Forskaren kontaktade senare Sarahah för att informera henne om all denna lavin av säkerhetsintrång i hennes webbversion. En utredning som har tagit månader av hans tid och som äntligen kan göra Sarahah-applikationen till en gemenskap fri från trakasserier och överlagda cyberattacker.