Una serie di vulnerabilità zero-day in Gaper, un’app di appuntamenti con un’attenzione particolare all’età degli utenti, consentirebbe agli autori delle minacce di accedere illegalmente a qualsiasi account per scopi dannosi. I ricercatori riferiscono che Gaper non dispone di alcun meccanismo di controllo degli accessi, sia che si tratti di autenticazione a più fattori o di protezione dagli attacchi di forza bruta, che rappresenta un serio rischio per la sicurezza degli utenti.
Gaper è stato rilasciato nel 2019 e ha attirato l’attenzione di migliaia di utenti, poiché era destinato a coloro che desideravano una relazione con qualcuno più grande o più giovane. In questo momento l’applicazione conta circa 800mila utenti, principalmente negli Stati Uniti e nel Regno Unito.
Il rapporto, presentato dalla società di sicurezza britannica Ruptura InfoSecurity, afferma che questo attacco non richiede nemmeno tecniche avanzate di sfruttamento dei difetti zero-day: “Non saremmo sorpresi se questo attacco fosse già stato implementato attivamente, il che richiederebbe solo circa 10 minuti”, dicono gli esperti. Sebbene la società abbia cercato di inviare il suo rapporto agli sviluppatori di Gaper, finora non hanno ottenuto alcuna risposta.
Il problema principale ha a che fare con i certificati di sicurezza delle applicazioni, la cui gestione consente agli hacker malintenzionati di implementare una condizione Man-in-The-Middle (MiTM) utilizzando un proxy Burp Suite: “In questo modo, gli autori delle minacce possono esaminare il traffico HTTPS degli utenti ed elencare funzionalità con facilità”, afferma il rapporto.
A quel tempo i ricercatori creavano un profilo fake e inviavano una richiesta GET per accedere alla funzione “information”, dove ottennero il token di login e l’identificazione di alcuni utenti, permettendo di consultare qualsiasi altro profilo solo conoscendo il valore di “user_id”, il che è facilmente intuibile perché l’applicazione aumenta semplicemente il suo valore di uno ogni volta che viene registrato un nuovo utente.
“Gli aggressori potrebbero recuperare un ampio elenco di informazioni sensibili che potrebbero essere utilizzate per implementare sofisticati attacchi di phishing, poiché potrebbero accedere a dettagli sensibili come la data di nascita, il luogo di residenza e persino l’orientamento sessuale”, aggiungono i ricercatori. I criminali informatici potrebbero persino accedere a foto intime degli utenti, mettendoli a rischio di estorsione.
Per la loro dimostrazione dell’attacco, gli investigatori hanno deciso di non lanciare un attacco di forza bruta, poiché ciò avrebbe potuto portare a un massiccio blocco degli account. Invece hanno abusato delle scarse pratiche di sicurezza di Gaper per il coinvolgimento di determinati account.
Come accennato in precedenza, il report è già stato inviato a Gaper ma la società non ha rilasciato alcuna risposta, quindi si consiglia agli utenti di disabilitare i propri account almeno fino a quando Gaper non annuncia che questi errori vengano risolti.