Onschuld openbaring: Gay dating-app liet 'privé'-afbeeldingen achter, gegevens werden blootgesteld aan internet

Onschuld openbaring: Gay dating-app liet 'privé'-afbeeldingen achter, gegevens werden blootgesteld aan internet

februari 7, 2019 0 Door admin

 

Openbare delen –

Online-vrienden hebben de privéfoto’s en locatie van de Jack’d-gebruikers getoond; onthullen leverde een risico op.

Met de Jack'd dating-app konden mannen uploaden
Vergroten /

De Jack’d dating-app stond mannen toe om ‘privé’-foto’s te uploaden, maar bewaarde ze open voor het publiek, net als de rest.

[Update, 7 februari, 3:00 PM ET: Ars heeft bevestigd met het testen dat het privébeeldlek in Jack’d is gesloten. Een volledige controle van de nieuwe app is nog bezig.]

De eenvoudige opslagservice van Amazon Web Services biedt talloze talloze web- en mobiele applicaties. Helaas beveiligen veel van de ontwikkelaars die deze applicaties bouwen hun S3-datastores niet adequaat, waardoor gebruikersgegevens zichtbaar worden – soms direct naar webbrowsers. En hoewel dat voor sommige soorten toepassingen misschien geen privacykwestie is, is het potentieel gevaarlijk wanneer het om ‘privé’-foto’s gaat die worden gedeeld via een datingsysteem.

Jack’d, een “gay dating and chat” -applicatie met meer dan 1 miljoen downloads van de Google Play Store, laat afbeeldingen achter die door gebruikers zijn geplaatst en gemarkeerd als “privé” in chatsessies die openstaan ​​voor surfen op internet, waardoor mogelijk de privacy van duizenden gebruikers. Foto’s zijn geüpload naar een AWS S3-bak die toegankelijk is via een onbeveiligde webverbinding, te herkennen aan een volgnummer. Door simpelweg het bereik van opeenvolgende waarden te doorlopen, was het mogelijk om alle afbeeldingen te bekijken die zijn geüpload door Jack’d-gebruikers – openbaar of privé. Bovendien waren locatiegegevens en andere metadata over gebruikers toegankelijk via de onbeveiligde interfaces van de toepassing om gegevens back-end te maken.

Het resultaat was dat intieme, privéafbeeldingen – inclusief foto’s van genitaliën en foto’s die informatie over de identiteit en locatie van gebruikers openbaarden – werden blootgesteld aan het openbare licht. Omdat de afbeeldingen door de toepassing zijn opgehaald via een onveilige webverbinding, kunnen ze worden onderschept door iedereen die het netwerkverkeer controleert, inclusief ambtenaren in gebieden waar homoseksualiteit illegaal is, homoseksuelen worden vervolgd of door andere kwaadwillende acteurs. En aangezien locatiegegevens en telefoonidentificatiegegevens ook beschikbaar waren, konden gebruikers van de toepassing worden getarget

Er is reden om bezorgd te zijn. Jack’d ontwikkelaar Online-Buddies Inc. ’s eigen marketing beweert dat Jack’d meer dan 5 miljoen gebruikers wereldwijd heeft op zowel iOS als Android en dat het “consistent behoort tot de top vier van homo sociale apps in zowel de App Store als Google Play .” Het bedrijf, dat in 2001 werd gelanceerd met de online datingwebsite van Manhunt – “een categorieleider in de dataruimte van meer dan 15 jaar,” claimt het bedrijf – brengt Jack ‘adverteerders’ toe als ’s werelds grootste, meest cultureel diverse homedating-app .”

De bug is opgelost in een update van 7 februari. Maar de oplossing komt een jaar nadat het lek voor het eerst aan het bedrijf werd bekendgemaakt door beveiligingsonderzoeker Oliver Hough en meer dan drie maanden nadat Ars Technica contact opnam met de CEO van het bedrijf, Mark Girolamo, over het probleem. Helaas is dit soort vertraging nauwelijks ongewoon als het gaat om beveiligingsopmerkingen, zelfs als de oplossing betrekkelijk eenvoudig is. En het wijst op een voortdurend probleem met de wijdverbreide verwaarlozing van elementaire veiligheidshygiëne in mobiele toepassingen .

Beveiliging YOLO

Een afbeelding geüpload door Oliver Hough en gemarkeerd als privé met behulp van de Jack'd-app, weergegeven in een webbrowser. Merk op dat de site HTTP-toegankelijk is.
Vergroten /

Een afbeelding geüpload door Oliver Hough en gemarkeerd als privé met behulp van de Jack’d-app, weergegeven in een webbrowser. Merk op dat de site HTTP-toegankelijk is.

Hough ontdekte de problemen met Jack terwijl hij naar een verzameling dating-apps keek en ze door de Burp Suite Web-beveiligingstest-tool. “Met de app kun je openbare en privéfoto’s uploaden, de privéfoto’s waarvan ze beweren dat ze privé zijn, totdat je ze ‘ontgrendelt’ zodat iemand ze kan zien,” zei Hough. “Het probleem is dat alle geüploade foto’s eindigen in dezelfde S3 (opslag) bucket met een volgnummer als de naam.” De privacy van de afbeelding wordt blijkbaar bepaald door een database die wordt gebruikt voor de toepassing, maar de afbeeldingsemmer blijft openbaar.

Maak een account en plaats geposte afbeeldingen gemarkeerd als privé. Door naar de door de app gegenereerde webaanvragen te kijken, merkte Hough dat de afbeelding was geassocieerd met een HTTP-verzoek aan een AWS S3-bucket die aan Manhunt was gekoppeld. Vervolgens controleerde hij de afbeeldingsopslag en vond hij de “privé” -afbeelding met zijn webbrowser. Hough ontdekte ook dat hij door het sequentiële nummer van zijn afbeelding te wijzigen, in wezen door de afbeeldingen kon scrollen die in hetzelfde tijdsbestek als het zijne waren geüpload.

Hough’s “privé” afbeelding, samen met andere afbeeldingen, bleef publiek toegankelijk vanaf 6 februari 2018.

Er zijn ook gegevens gelekt door de API van de toepassing. De locatiegegevens die door de app-functie worden gebruikt om mensen in de buurt te vinden, waren toegankelijk, evenals apparaatidentificatiegegevens, gehashte wachtwoorden en metagegevens over het account van elke gebruiker. Hoewel veel van deze gegevens niet in de toepassing werden weergegeven, was deze zichtbaar in de API-antwoorden die naar de toepassing werden gestuurd wanneer hij profielen bekeek.

Na het zoeken naar een beveiligingscontact bij Online-Buddies, nam Hough afgelopen zomer contact op met Girolamo om het probleem te verduidelijken. Girolamo bood aan om over Skype te praten, waarna de communicatie stopte nadat Hough hem zijn contactgegevens had gegeven. Nadat beloofde follow-ups niet hadden plaatsgevonden, nam Hough in oktober contact op met Ars.

Op 24 oktober 2018 mailde Ars en belde Girolamo. Hij vertelde ons dat hij ernaar zou kijken. Na vijf dagen met geen woord terug, meldden we Girolamo dat we een artikel over de kwetsbaarheid zouden publiceren – en hij reageerde onmiddellijk. “Neem alsjeblieft niet meteen contact op met mijn technische team,” zei hij tegen Ars. “De sleutelpersoon is in Duitsland, dus ik weet niet zeker of ik het meteen zal horen.”

Girolamo beloofde om details over de situatie per telefoon te delen, maar hij miste toen de interviewoproep en ging weer zwijgen – faalde om meerdere e-mails en oproepen van Ars terug te sturen. Eindelijk, op 4 februari, stuurde Ars e-mails met de waarschuwing dat er een artikel zou worden gepubliceerd – e-mails waar Girolamo op reageerde nadat Ars hem op zijn mobiel had bereikt.

Girolamo vertelde Ars in het telefoongesprek dat hem werd verteld dat het probleem “geen privacylek” was. Maar toen hij opnieuw de details gaf, en nadat hij de e-mails van Ars had gelezen, beloofde hij om het probleem onmiddellijk aan te pakken. Op 4 februari reageerde hij op een vervolgmail en zei dat de fix zou worden ingezet op 7 februari. “Je moet nu [k] dat we het niet negeerden – toen ik met engineering sprak, zeiden ze dat het 3 maanden zou duren en we zitten precies op schema, “voegde hij eraan toe.

In de tussentijd, terwijl we het verhaal vasthielden totdat het probleem was opgelost, brak The Register het verhaal – waarbij een aantal technische details werden tegengehouden.

Gecoördineerde onthulling is moeilijk

Omgaan met de ethiek en wettigheid van openbaarmaking is geen nieuw gebied voor ons. Toen we ons passieve toezichtsexperiment uitvoerden op een NPR-rapportage , moesten we een maand van onthulling doormaken met verschillende bedrijven nadat we zwakke punten in de beveiliging van hun sites en producten hadden ontdekt om er zeker van te zijn dat ze werden aangepakt. Maar openbaarmaking is een stuk moeilijker met organisaties die geen geformaliseerde manier hebben om ermee om te gaan – en soms lijkt openbaarmaking via de media de enige manier om actie te ondernemen.

Het is moeilijk te zeggen of Online-Buddies feitelijk “op schema” was met een bugfix, aangezien het meer dan zes maanden geleden was sinds het eerste bugrapport. Het lijkt erop dat alleen media-aandacht een poging deed om het probleem op te lossen; het is niet duidelijk of de communicatie van Ars of de publicatie van het lek door The Register enig effect had, maar de timing van de bugfix is ​​zeker verdacht wanneer deze in de context wordt bekeken.

Het grotere probleem is dat dit soort aandacht zich niet kan schikken naar het enorme probleem van slechte beveiliging in mobiele applicaties. Een snelle enquête van Ars met behulp van Shodan liet bijvoorbeeld zien dat bijna 2.000 Google-datawinkels blootgesteld zijn aan openbare toegang, en een snelle blik op één liet zien wat met een muisklik grote hoeveelheden eigendomsinformatie leek. En dus gaan we nu weer door het openbaarmakingsproces, alleen maar omdat we op internet hebben gezocht.

Vijf jaar geleden op de Black Hat-beveiligingsconferentie stelde In G-Tel-chef-beveiligingsofficier Dan Geer dat de Amerikaanse regering de markt op zero-day bugs zou moeten afgrendelen door voor hen te betalen en ze vervolgens openbaar te maken, maar voegde eraan toe dat de strategie ” afhankelijk van kwetsbaarheden die schaars zijn – of op zijn minst minder talrijk. “Maar kwetsbaarheden zijn niet schaars, omdat ontwikkelaars ze elke dag blijven toevoegen aan software en systemen omdat ze dezelfde slechte” beste “praktijken blijven gebruiken.

bron