Sarahah

Segundo pode ler-se na página The Next Web, um investigador britânico denunciou inúmeras falhas de segurança na aplicação Sarahah, que está na moda entre os adolescentes. Sarahah, em árabe, significa honestidade. E embora muitos estejam usando o aplicativo para assediar ou praticar bullying, o objetivo do aplicativo é exatamente o contrário: elogiar nossos semelhantes. Os problemas de segurança a que se referem limitam-se exclusivamente à versão desktop da aplicação Sarahah, deixando de momento gratuita a sua versão mobile.

Muitos bugs afetam a versão web do Sarahah

Scott Helme, um pesquisador, descobriu que a proteção contra vírus CSRF no site da Sarahah era extremamente fácil de quebrar. O vírus CSRF é tremendamente nocivo e perigoso, podendo assumir o controle de nossa conta, realizando operações alheias ao nosso uso. Um invasor, explica Helme, poderia usar nossa conta para marcar outras contas desconhecidas, a fim de lucrar financeiramente.

Ele também aponta que em agosto passado outro pesquisador chamado Rony Das também descobriu mais falhas de segurança. Especificamente, ele encontrou uma vulnerabilidade XSS. Resumindo: um hacker pode inserir um código malicioso no HTML da página de Sarahah, que pode incluir vírus e spyware.

Outros problemas: Helme identificou erros graves no cabeçalho de segurança, o que impede o uso de um protocolo de segurança HSTS. Esta é uma ferramenta cada vez mais utilizada para combater sequestro de cookies e a possibilidade de um ataque aproveitando versões antigas da web. O trabalho de Helme é tentar fazer com que Sarahah proteja seus usuários adequadamente. Como afirma a web, seu grande concorrente, o Ask.fm, é um site repleto de erros e falhas de segurança. Então, nada melhor do que Sarahah para aprender com as falhas deste e se tornar uma página da web segura.

Assédio e derrubada: o perigo de Sarahah na web

Em relação ao filtro de segurança e antiassédio, a pesquisadora também tem algo a dizer. Ele percebeu que, por exemplo, na frase 'eu mataria por um cheeseburger', o aplicativo deletaria a postagem, pois encontra uma palavra negativa, 'matar'.No entanto, se uma vírgula fosse colocada após 'Would kill', o aplicativo a ignoraria. Sim, não está gramaticalmente correto, mas a mensagem passaria de qualquer maneira.

E mais falhas: a página de Sarahah não tem limites para a velocidade com que seus usuários escrevem comentários, então qualquer um pode sofrer um bombardeio de assédio, com uma simples linha de script. Sarahah também não tem nenhuma função de exclusão em massa, portanto, se formos vítimas de um bombardeio de comentários, devemos excluí-los um por um.

Além disso, para redefinir a senha no Sarahah, o site solicita apenas ao usuário o endereço de e-mail associado à conta. Uma vez solicitado, o sistema gera um novo e envia automaticamente para o usuário. Nesse sentido, um hacker poderia alterar uma linha de script para que a senha mudasse a todo momento, impossibilitando o acesso do dono da conta.Esse mesmo script também pode ser usado para impedir o acesso à conta, mesmo que a senha seja válida. Sarahah bloqueia todas as contas de usuário que tenham mais de 10 tentativas de login.

A pesquisadora posteriormente contatou Sarahah para informá-la sobre toda essa avalanche de brechas de segurança em sua versão web. Uma investigação que tomou meses de seu tempo e que pode finalmente tornar o aplicativo Sarahah uma comunidade livre de assédio e ataques cibernéticos premeditados.