O Sarahah foi uma das grandes febres da internet em 2017 e você provavelmente deve ter notado que a onda do app já passou. Mas não é difícil de imaginar que muita gente ainda utiliza a plataforma, então, é importante alertar para novas descobertas envolvendo falhas de segurança do serviço.
O problema da vez foi identificado pelo pesquisador Scott Helme e diz respeito à versão web do serviço de mensagens anônimas. Segundo ele, o sistema de proteção CSRF do site é “bastante simples de ser ultrapassado”, deixando o usuário exposto a ataques que realizam ações não desejadas na web.
Outra situação identificada por ele trata do sistema de filtros antiassédio do Sarahah. A ferramenta conta com um método rudimentar para evitar que mensagens ofensivas cheguem aos usuários, assim, a frase “Eu mataria por um cheeseburger agora mesmo” seria filtrada graças à expressão “mataria”. Entretanto, escrever “.mataria” seria o suficiente para driblar o filtro, aponta Helme.
A ausência de um limite de mensagens enviadas por um mesmo usuário para um mesmo destinatário também foi outra falha encontrada pelo Helme.
“Dada a natureza do site e a possibilidade de mandar mensagens totalmente anônimas, eu pude enviar centenas de mensagens abusivas para Kate em apenas alguns segundos”, escreve o pesquisador. “Sem nenhuma chance de apagar essas mensagens em lote, Kate teria que sentar e apagá-las uma a a uma.”
Mais problemas
Helme aponta ainda a facilidade em resetar uma senha como outro problema do Sarahah. Segundo ele, quando uma nova senha é solicitada, ela é apenas enviada para o email fornecido pelo usuário, uma forma bastante insegura e de levar esse tipo de ação adiante. “Rodando um script em sequência a cada 30 segundos, eu pude alterar constantemente a senha da conta de Kate, o que poderia se tornar rapidamente um grande incômodo”, escreve o pesquisador.
Em relação ao protocolo de conexão do site, Helme cita o fato de a página variar o uso de um protocolo simples (HTTP) e outro seguro (HTTPS) conforme a navegação. Além disso, após enviar uma mensagem, o usuário é levado a uma página HTTP na qual aparece um anúncio. Não fica claro porque ela precisa sair de um protocolo seguro para exibir a publicidade, mas é evidente que essa característica deixa tudo muito exposto.
Sarahah resolveu a maioria dos problemas
De acordo com Scott Helme, os criadores do aplicativo foram alertados sobre todas as suas no dia 8 de agosto deste ano. Após uma série de interações, um representante do Sarahah afirmou, em 29 de setembro, que a companhia resolveu “a maior parte dos problemas”. Helme solicitou mais informações sobre as correções, mas não obteve qualquer resposta.
Fontes