Sarahah

Segons es pot llegir a la pàgina The Next Web, un investigador britànic ha informat de nombroses falles de seguretat a l'aplicació Sarahah, que fa furor entre els adolescents. Sarahah, en àrab, significa honestedat. I encara que molts estiguin usant l'aplicació per assetjar o practicar el bullying, la fi de l'aplicació és exactament el contrari: llançar complerts els nostres semblants. Els problemes de seguretat a què es refereixen se cenyeixen, exclusivament, a la versió escriptori de l'aplicació Sarahah, i en queda la versió mòbil lliure, de moment.

Un munt d'errors assolen la versió web de Sarahah

Scott Helme, investigador, va descobrir que la protecció contra virus CSRF del web de Sarahah era tremendament fàcil de trencar. El virus CSRF és tremendament nociu i perillós, podent fer-se amb el control del nostre compte, realitzant operacions alienes al nostre ús. Un atacant, explica Helme, podria fer servir el nostre compte per marcar com a favorits altres comptes desconeguts, per tal de treure profit econòmic.

Així mateix assenyala que el mes d'agost passat un altre investigador anomenat Rony Das també va descobrir més forats de seguretat. Concretament, va trobar una vulnerabilitat XSS. Resumint: un hacker podria introduir, al codi HTML de la pàgina de Sarahah, codis maliciosos que podrien incloure virus i programes espia.

Altres problemes: Helme va identificar greus errors a la capçalera de seguretat, que impedeix utilitzar un protocol de seguretat HSTS. És aquesta una eina cada cop més utilitzada per lluitar contra el segrest de cookies i la possibilitat que hi hagi un atac aprofitant versions antigues de la web. El treball de Helme és intentar que Sarahah protegeixi com cal els seus usuaris. Tal com afirma la web, el seu gran competidor, Ask.fm, és un lloc ple d'errors i falles en seguretat. Així que, què millor que Sarahah aprengui de les errades d'aquesta i es converteixi en una pàgina web segura.

Assetjament i enderrocament: el perill de Sarahah a la web

Respecte al filtre de seguretat i antiassetjament, l'investigador també hi té alguna cosa a dir. Ha advertit que, per exemple, a la frase 'Mataria per una hamburguesa amb formatge', l'aplicació eliminaria el post, ja que troba una paraula negativa, 'Matar'.Tot i això, si es col·loqués una coma després de 'Mataria', l'aplicació faria cas omís. Sí, no és correcta gramaticalment, però el missatge arribaria de totes maneres.

I més errors: la pàgina de Sarahah no té límits quant a la velocitat en què els seus usuaris escriuen els comentaris, per la qual cosa qualsevol persona pot patir un bombardeig d'assetjament, amb una simple línia de script. Sarahah, a més, no té cap funció d'esborrament massiu, per la qual cosa si som víctimes d'un bombardeig de comentaris, els hem d'eliminar un a un.

A més, per restablir la contrasenya a Sarahah, la web només demana a l'usuari l'adreça de correu associada al compte. Un cop sol·licitada, el sistema en genera una de nova i l'envia, automàticament, a l'usuari. En aquest sentit, un hacker podria canviar una línia de script perquè la contrasenya canviés cada instant, i així seria impossible per a l'amo del compte poder accedir-hi.Aquest mateix script podria ser utilitzat, així mateix, perquè l'accés al compte resultés fallit, encara col·locant la contrasenya vàlida. Sarahah bloqueja tots els comptes d'usuari que superen en 10 els intents d'accés.

L'investigador va contactar posteriorment amb Sarahah per informar-lo de tota aquesta avalancha de bretxes de seguretat en la seva versió web. Una investigació que li ha portat mesos del seu temps i que poden aconseguir, per fi, que l'aplicació Sarahah sigui una comunitat lliure d'assetjament i ciberatacs premeditats.