اكتشف TechCrunch أن الفاصل الأمني في تطبيق Dating Raw قد كشف علنًا عن البيانات الشخصية وبيانات الموقع الخاص لمستخدميها.
تضمنت البيانات المكشوفة أسماء العرض للمستخدمين ، وتواريخ الميلاد ، والمواعدة والتفضيلات الجنسية المرتبطة بالتطبيق الخام ، وكذلك مواقع المستخدمين. تضمنت بعض بيانات الموقع إحداثيات محددة بما يكفي لتحديد موقع مستخدمي التطبيقات الخام بدقة مستوى الشارع.
RAW ، الذي تم إطلاقه في عام 2023 ، هو تطبيق مواعدة يدعي أنه يقدم المزيد من التفاعلات الحقيقية مع الآخرين جزئيًا من خلال مطالبة المستخدمين بتحميل صور شخصية شخصية يوميًا. لا تكشف الشركة عن عدد المستخدمين الذين لديهم ، ولكن تطبيقاتها التي يدرج على متجر Google Play يتشمل أكثر من 500000 تنزيل Android حتى الآن.
تأتي أخبار انقضاء الأمان في نفس الأسبوع الذي أعلنت فيه بدء التشغيل عن امتداد للأجهزة لتطبيق المواعدة الخاص به ، وهي الحلقة الأولية ، وهي جهاز لا يمكن إطلاقه الذي لا يُعرف أنه سيسمح لمستخدمي التطبيق بتتبع معدل ضربات القلب لشريكهم وبيانات المستشعر الأخرى لتلقي رؤى تم إنشاؤها من الذكاء الاصطناعي ، ظاهريًا لاكتشاف الخيانة.
على الرغم من القضايا الأخلاقية والأخلاقية المتمثلة في تتبع الشركاء الرومانسيين ومخاطر المراقبة العاطفية ، فإن المطالبات الأولية على موقعها على الويب وفي سياسة الخصوصية الخاصة بها ، حيث يستخدم تطبيقها ، وجهازها غير المُصدر ، كل من التشفير من طرف إلى طرف ، وهي ميزة أمان تمنع أي شخص آخر غير المستخدم-بما في ذلك الشركة-من الوصول إلى البيانات.
عندما جربنا التطبيق هذا الأسبوع ، والذي تضمن تحليلًا لحركة شبكة شبكة التطبيق ، لم يجد TechCrunch أي دليل على أن التطبيق يستخدم التشفير من طرف إلى طرف. بدلاً من ذلك ، وجدنا أن التطبيق كان يتسرب علنا عن مستخدميه لأي شخص لديه متصفح ويب.
قام RAW بإصلاح التعرض للبيانات يوم الأربعاء ، بعد فترة وجيزة من الاتصال بـ TechCrunch بالشركة بتفاصيل الخطأ.
وقالت مارينا أندرسون ، المؤسس المشارك لتطبيق RAW Dating ، لـ TechCrunch عبر البريد الإلكتروني: “تم تأمين جميع نقاط النهاية المكشوفة سابقًا ، وقمنا بتنفيذ ضمانات إضافية لمنع مشكلات مماثلة في المستقبل”.
عندما سئلت شركة TechCrunch ، أكد أندرسون أن الشركة لم تقم بمراجعة أمنية لجهة خارجية لتطبيقها ، مضيفًا أن “التركيز على بناء منتج عالي الجودة والمشاركة بشكل مفيد مع مجتمعنا المتنامي”.
لن يلتزم أندرسون بإخطار المستخدمين المتأثرين بشكل استباقي بأن معلوماتهم تعرضت ، لكنه قال إن الشركة “ستقدم تقريرًا مفصلاً إلى سلطات حماية البيانات ذات الصلة بموجب اللوائح المعمول بها”.
لا يُعرف على الفور إلى المدة التي يستغرقها التطبيق بشكل علني بيانات مستخدميه. وقال أندرسون إن الشركة لا تزال تحقق في الحادث.
فيما يتعلق بادعائه بأن التطبيق يستخدم التشفير من طرف إلى طرف ، قال أندرسون إن RAW “يستخدم التشفير في العبور ويفرض عناصر التحكم في الوصول للبيانات الحساسة داخل البنية التحتية الخاصة بنا. وستكون خطوات أخرى واضحة بعد تحليل الموقف بدقة.”
لن يقول أندرسون ، عندما سئل ، ما إذا كانت الشركة تخطط لضبط سياسة الخصوصية الخاصة بها ، ولم يستجب أندرسون على بريد إلكتروني للمتابعة من TechCrunch.
كيف وجدنا البيانات المكشوفة
اكتشف TechCrunch الخطأ يوم الأربعاء خلال اختبار موجز للتطبيق. كجزء من اختبارنا ، قمنا بتثبيت تطبيق المواعدة الخام على جهاز Android الظاهري ، والذي يتيح لنا استخدام التطبيق دون الحاجة إلى تقديم أي بيانات حقيقية ، مثل موقعنا الفعلي.
لقد أنشأنا حساب مستخدم جديد مع بيانات وهمية ، مثل اسم وتاريخ الميلاد ، وقمنا بتكوين موقع جهازنا الافتراضي ليظهر كما لو كنا في متحف في Mountain View ، كاليفورنيا. عندما طلب التطبيق موقع جهازنا الظاهري ، سمحنا للتطبيق الوصول إلى موقعنا الدقيق وصولاً إلى بضعة أمتار.
استخدمنا أداة تحليل حركة مرور الشبكة لمراقبة وفحص البيانات التي تتدفق داخل وخارج التطبيق RAW ، مما سمح لنا بفهم كيفية عمل التطبيق وأنواع البيانات التي كان التطبيق يتم تحميلها حول مستخدميه.
اكتشف TechCrunch التعرض للبيانات في غضون بضع دقائق من استخدام التطبيق الخام. عندما قمنا بتحميل التطبيق لأول مرة ، وجدنا أنه يسحب معلومات ملف تعريف المستخدم مباشرة من خوادم الشركة ، لكن الخادم لم يكن يحمي البيانات التي تم إرجاعها بأي مصادقة.
في الممارسة العملية ، هذا يعني أن أي شخص يمكنه الوصول إلى معلومات خاصة لأي مستخدم آخر باستخدام متصفح ويب لزيارة عنوان الويب الخاص بالخادم المكشوف – api.raw.app/users/ يليه رقم فريد من 11 رقمًا يتوافق مع مستخدم تطبيق آخر. قام تغيير الأرقام لتتوافق مع معرف أي مستخدم آخر مكون من 11 رقمًا بإرجاع المعلومات الخاصة من ملف تعريف هذا المستخدم ، بما في ذلك بيانات موقعه.
يُعرف هذا النوع من الثغرة الأمنية باسم مرجع الكائن المباشر غير الآمن ، أو eDOR ، وهو نوع من الأخطاء التي يمكن أن تسمح لشخص ما بالوصول إلى البيانات أو تعديلها على خادم شخص آخر بسبب عدم وجود فحوصات أمان مناسبة على المستخدم للوصول إلى البيانات.
كما أوضحنا من قبل ، فإن Bugs Idor أقرب إلى وجود مفتاح لصندوق بريد خاص ، على سبيل المثال ، ولكن هذا المفتاح يمكن أن يفتح أيضًا كل صندوق بريد آخر في نفس الشارع. على هذا النحو ، يمكن استغلال أخطاء Idor بسهولة وفي بعض الحالات تم تعدادها ، مما يتيح الوصول إلى السجل بعد سجل بيانات المستخدم.
حذرت وكالة الأمن السيبرانية الأمريكية CISA منذ فترة طويلة من المخاطر التي تواجهها أخطاء Idor ، بما في ذلك القدرة على الوصول إلى البيانات الحساسة عادة “على نطاق واسع”. كجزء من مبادرة Secure by Design ، قالت CISA في مشورة 2023 أن المطورين يجب أن يضمنوا إجراء تطبيقاتهم المصادقة والترخيص المناسبة.
نظرًا لأن RAW إصلاح الخلل ، لم يعد الخادم المكشوف يقوم بإرجاع بيانات المستخدم في المتصفح.
اكتشاف المزيد من اشراق اون لاين
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.
