Un conjunto de vulnerabilidades día cero en Gaper, una app de citas con especial enfoque en la edad de los usuarios, permitiría a los actores de amenazas acceder de forma indebida a cualquier cuenta con fines maliciosos. Investigadores reportan que Gaper carece de cualquier mecanismo de control de acceso, ya sea autenticación multifactor o protección contra ataques de fuerza bruta, lo que representa un serio riesgo de seguridad para los usuarios.
Gaper fue lanzada en 2019 y llamó la atención de miles de usuarios, ya que estaba pensada para aquellas personas que deseaban una relación con alguien mayor o más joven. En este momento la aplicación cuenta con alrededor de 800 mil usuarios, principalmente en Estados Unidos y Reino Unido.
El reporte, presentado por la firma de seguridad británica Ruptura InfoSecurity, menciona que este ataque ni siquiera requiere de avanzadas técnicas de explotación de fallas día cero: “No nos sorprendería que este ataque ya haya sido desplegado de forma activa, lo que tomaría apenas alrededor de 10 minutos”, mencionan los expertos. Si bien la compañía trató de presentar su reporte a los desarrolladores de Gaper, hasta el momento no han obtenido respuesta alguna.
El problema principal tiene que ver con los certificados de seguridad de la aplicación, cuyo manejo permite desplegar una condición Man-in-The-Middle (MiTM) usando un proxy Burp Suite: “De este modo los actores de amenazas pueden revisar el tráfico HTTPS de los usuarios y enumerar la funcionalidad con facilidad”, menciona el reporte.
En ese momento los investigadores crearon un perfil falso y enviaron una solicitud GET para acceder a la función “información”, donde obtuvieron el token de inicio de sesión y la identificación de algunos usuarios, permitiendo consultar cualquier otro perfil con solo conocer el valor de “user_id”, que es fácilmente adivinable pues la aplicación simplemente incrementa su valor en uno cada vez que se registra un nuevo usuario.
“Los atacantes podrían recuperar una lista extensa de información confidencial que podría usarse para el despliegue de sofisticados ataques de phishing, ya que podrían acceder a detalles confidenciales como fecha de nacimiento, lugar de residencia e incluso orientación sexual”, agregan los investigadores. Los cibercriminales incluso podrían acceder a fotos íntimas de los usuarios, poniéndolos en riesgo de extorsión.
Para su demostración del ataque los investigadores decidieron no lanzar un ataque de fuerza bruta, ya que esto podría haber conducido al bloqueo masivo de cuentas. En su lugar abusaron de las deficientes prácticas de seguridad en Gaper para el compromiso de algunas cuentas determinadas.
Como se menciona anteriormente, el reporte ya ha sido enviado a Gaper pero la compañía no ha emitido respuesta alguna, por lo que se recomienda a los usuarios deshabilitar sus cuentas al menos hasta que Gaper anuncie que estas fallas ya han sido corregidas.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
