Se insta a los usuarios de Android de OkCupid a actualizar la aplicación después de que se encontraron fallas de seguridad en la aplicación que podrían permitir a los piratas informáticos robar credenciales.

Los investigadores de la firma de seguridad israelí Checkmarx dieron la alarma cuando descubrieron un exploit que podría hacer que los piratas informáticos se aprovecharan de la dependencia de la aplicación en navegadores externos.

Cuando la aplicación OkCupid obtiene mensajes de otros usuarios, lo hace con su propio navegador incluido en la aplicación. Si bien la aplicación subcontrata la mayoría de los enlaces a un navegador externo, los investigadores encontraron que era trivial crear un enlace malicioso que engañara a la aplicación para que la abriera con su propio navegador, agregando una cadena específica a la URL. Una vez abierta en la aplicación, un mensaje le pedirá al usuario que ingrese sus datos de inicio de sesión.

Relacionado: Los mejores sitios de citas

«No había absolutamente ninguna forma de que un usuario desprevenido supiera que esto no era OkCupid, sino, en cambio, una página hecha para parecerse a OkCupid», dijo el jefe de investigación de seguridad de Checkmarx, Erez Yalon. Informes de los consumidores.

Con esos detalles obtenidos, un ciberdelincuente podría aprovechar todos los datos que tienen las cuentas de citas (nombre, dirección de correo electrónico, ubicación, etc.) para el robo de identidad, el fraude bancario o el acoso. Un atacante podría incluso interceptar mensajes entre usuarios, leer mensajes privados y rastrear su ubicación. «Los usuarios no sabrían que la aplicación ha sido atacada ”, dijo Yalon. «Todo funcionó con total normalidad, por lo que continuarían usándolo».

Los investigadores estaban particularmente alarmados, porque el exploit podría haberse vuelto autopropagable, enviando automáticamente mensajes de un usuario de OkCupid a todos sus contactos, poniendo en riesgo a una gran cantidad de usuarios.

Relacionado: El mejor antivirus gratuito

La buena noticia es que si está ejecutando la última versión, ya está protegido. Checkmarx reveló la vulnerabilidad de OkCupid el 15 de noviembre de 2018 y se implementó una solución el 4 de enero de 2019. El mismo exploit no funciona en un navegador móvil o en la versión de iOS.

¿Le preocupa el malware de aplicaciones de citas? Háganos saber en Twitter: @Mamiquierouno.

Leave a Reply