L’entreprise spécialisée en cybersécurité CheckPoint a découvert dans la célèbre application de “dating” plusieurs vulnérabilités qui auraient pu permettre à des attaquants, au moyen de faux liens, de dérober les données des utilisateurs et utilisatrices du site de rencontre.
A en croire leurs communications, les sites de rencontre tels que Tinder, Grindr ou encore AdopteUnMec ont connu des pics d’utilisation à l’occasion du confinement. La popularité croissante de ces services en font des cibles pour des hackers friands de données personnelles, alors que ces mêmes sites sont fréquemment pointés du doigt pour leurs pratiques un tantinet laxiste en termes de protection des données.
Les chercheurs de CheckPoint se sont récemment penchés sur l’un d’entre eux, OkCupid, et en ont eu pour leur argent... La société spécialisée en sécurité rapporte avoir découvert plusieurs failles dans l’application, lesquelles permettaient non seulement de mettre la main sur les données des utilisateurs, de leurs adresses IP à leurs préférences en passant par leurs adresses email ou encore leurs tokens d’authentification, mais aussi de prendre de le contrôle des comptes ciblés. Bref, une véritable mine d’or, qui n’a cependant pas été exploitée, semble-t-il.
Haro sur les cookies
Procédant par rétroingénierie, les chercheurs ont constaté que l’application mobile Android de OkCupid incluait une fonctionnalité de « liens profonds », permettant d'invoquer des intentions dans l'application via un lien de navigateur”. Ainsi, par le biais d’un lien créé par un attaquant, ce dernier sera en mesure d’ouvrir l’application dans un navigateur (webview). Ajoutons à cela la possibilité, contenue dans les paramètres utilisateurs, d’effectuer une injection XSS. “Toute requête sera envoyée avec les cookies des utilisateurs” précise l’équipe de CheckPoint. Une requête HTTP GET permet au pirate de récupérer les paramètres du profil de l'utilisateur, le paramètre pouvant être injecté au moyen d’un code JavaScript.
Dans leur test, les chercheurs précise que “le code XSS final charge un fichier JavaScript depuis le serveur des pirates. Le code JavaScript chargé sera utilisé pour l'exfiltration. Il contient 3 fonctions : 1. steal_token : vole le jeton d'authentification des utilisateurs, oauthAccessToken, et l'identifiant des utilisateurs, userid. Les informations sensibles des utilisateurs (IPI), telles que l'adresse électronique, sont également exfiltrées. 2. steal_data : vole le profil et les données privées des utilisateurs, leurs préférences, les caractéristiques des utilisateurs (par ex. les réponses données lors de l'inscription), et plus encore. 3. send_data_to_attacker : envoyer les données recueillies dans les fonctions 1 et 2 au serveur des pirates”.
API très ouverte
Mais les découvertes ne s’arrêtent pas là, puisqu’une mauvaise configuration de la politique Cross-Origin Resource Sharing (CORS) du serveur API du service de dating “permet à n'importe quelle origine d’envoyer des requêtes au serveur et de lire ses réponses”. Ainsi, une victime authentifiée sur l’application qui visiterait le site web de l’attaquant déclencherait l’envoi d’une requête JSON au serveur API, requête contenant les cookies de l’utilisateur. Le serveur répond quant à lui en renvoyant l’identifiant utilisateur ainsi que le jeton de connexion correspondant.
Des failles loin d’être anodines, mais qui d’une part n'ont apparemment jamais été exploitées, et d’autre part ont été corrigées. “CheckPoint Research a informé les développeurs de OkCupid des vulnérabilités exposées dans cette étude et une solution a été déployée de manière responsable pour garantir que ses utilisateurs puissent continuer d’utiliser l'application OkCupid en toute sécurité” écrit l’éditeur, qui recommande à tous les utilisateurs de mettre à jour l’app dans les plus brefs délais.