É irônico que Teorher tenha derramado suas informações pessoais na web aberta sobre como derramar o feijão para um aplicativo que você supostamente vai sair do feijão.
O TeaoRher foi projetado para compartilhar fotos e informações sobre as mulheres que afirmam ter saído. No entanto, para as mulheres que ele tentou reproduzir, a prática de flertar, Teaoher, como o TechCrunch informou na semana passada, teve lacunas na segurança, incluindo fotografias de carteiras de motorista e outros documentos de identidade fornecidos pelo governo.
Aparentemente, esse tipo de comunidade, semelhante a uma porta, foi criado para permitir que os usuários compartilhem informações sobre seu relacionamento sob o disfarce de segurança pessoal. No entanto, os defeitos de codificação e segurança de baixa qualidade enfatizam os riscos contínuos de confidencialidade que exigem que os usuários enviem informações confidenciais para usar seus sites e sites.
Tais riscos só piorarão; Aplicativos populares e serviços da Web são obrigados a cumprir as leis de verificação de idade que exigem que as pessoas enviem documentos de identidade antes do acesso ao conteúdo com tema de adulto, apesar do risco de privacidade e segurança associadas ao armazenamento de bancos de dados das informações pessoais das pessoas.
Quando o TechCrunch publicou nossa história na semana passada, não publicamos certos detalhes dos erros que descobrimos em Teaoher para ajudar os maus atores a explorar o erro. Em vez disso, decidimos publicar uma explicação limitada devido à crescente popularidade do aplicativo e aos riscos urgentes que enfrentam enquanto os usuários usam o aplicativo.
No tempo de explicação, o TeaoRher era o número 2 nos gráficos de aplicativos gratuitos na Apple App Store, que ainda é uma posição que ainda é organizada pelo aplicativo hoje.
As falhas que encontramos parecem estar resolvidas. O TechCrunch agora pode compartilhar como podemos encontrar licenças de usuários em 10 minutos depois de enviar um link para a App Store para encontrar imperfeições no sistema de extremidade traseira geral ou na API do aplicativo.
O desenvolvedor do aplicativo Xavier Lampkin não respondeu a mais de uma solicitação de comentários após o envio de detalhes dos defeitos de segurança, e Lampkin não se comprometeria a informar os influentes usuários do Teaoher ou reguladores estaduais de pular segurança.
Também perguntamos a Lampkin se houve algum exame de segurança antes do início da aplicação do TeaoRher, mas não respondemos. (Então há mais sobre a explicação.)
Bem, comece o relógio.
Teoher, informações de identidade ‘painel de administração’ anunciadas
Antes de baixar o aplicativo, primeiro queríamos saber onde o Teaoher foi hospedado na Internet, olhando para a infraestrutura pública como qualquer coisa hospedada no site e no campo.
Geralmente, este é um bom lugar para começar, porque o nome de domínio depende de quais serviços na Internet.
Para encontrar o nome de domínio primeiro (por acaso) Lista de Apple App App Store Para encontrar o site do aplicativo. Isso geralmente pode ser encontrado na política de privacidade que os aplicativos devem conter antes de listar a Apple. (A lista de aplicativos também afirma que o desenvolvedor não coleta nenhum dado deste aplicativo, o que está claramente errado; portanto, obtenha -o como desejar.)
A Política de Privacidade da Teaoher estava na forma de um DOC publicado no Google contendo um endereço E -Post. teaonher.com O nome de domínio, mas nenhum site.
O site não estava aberto a todos na época, então analisamos os registros públicos do DNS do nome de domínio que podem ajudar a determinar o que está hospedando, como o tipo de servidores de e-mail denominados domínio, sem a instalação do site. Também queríamos procurar sub -áreas gerais para o aplicativo que o desenvolvedor pode usar para funcionalidade (ou possivelmente hospedar outros recursos que não devem estar abertos ao público).
No entanto, quando olhamos para os registros gerais da Internet de Teaoher, não havia outro conhecimento significativo de um único sub -campo, appserver.teaonher.com.
Quando abrimos esta página em nosso navegador, foi a página de destino da API de Teaoher (por curiosidade, Carregamos uma cópia aqui). Ele permite que uma API se comunique, como conectar um aplicativo ao banco de dados central.
Encontramos o endereço E -POSTA e a senha de texto plano que foi exposto a esta página de destino ( tão longe “senha”) Para que a conta de Lampin acesse o “painel de administrador” do Teaoher.
A página da API mostrou que o painel do administrador usado para o sistema de verificação de documentos e o gerenciamento de usuários também está disponível na referência “Localhost OLAN ao computador físico que executa o servidor e não pode ser acessado diretamente da Internet. Não está claro se alguém pode usar informações de identidade para acessar o painel do administrador, mas essa é uma descoberta suficientemente preocupada.
Nesse ponto, estávamos em apenas dois minutos.
Caso contrário, a página de destino da API não fez nada além de apresentar alguns indicadores do que a API poderia fazer. A página foi listada como uma série de APIs que devem ser acessadas para funcionar como usuários para lançar análises e enviar notificações do banco de dados TeaoRHER para enviá -los para enviar notificações.
Com o conhecimento desses pontos extremos, pode ser mais fácil interagir com a API como se o aplicativo se imitasse. Cada API é diferente, portanto, aprender como uma API funciona e como se comunicar com alguém pode entender quais pontos de extremidade serão usados e os parâmetros necessários para falar efetivamente sobre o idioma. Aplicativos como o Postman podem ser úteis para acessar diretamente e interagir com APIs, mas isso requer tempo e um certo erro de teste (e paciência) para cuspir dados quando as APIs não devem produzir dados.
No entanto, neste caso, havia uma maneira ainda mais fácil.
A API do TeaoRher permitiu que os dados do usuário tivessem acesso não identificado aos dados de identidade
Esta API está incluída na página de destino Um fim procurado depois /docsA lista completa de comandos da API que pode ser executada na API inclui documentos criados automaticamente (fortalecidos por um produto chamado Swagger UI).
Esta página de documentação foi uma página inicial eficaz de todas as ações que você pode executar na API do TeaoRher como um usuário normal de aplicativos e, mais importante, o aplicativo é o gerente do aplicativo, como criar novos usuários, verificar, interpretar usuários, interpretar, interpretar e muito mais.
Os documentos da API também tinham a capacidade de perguntar a API do TeaoRher e retornar os dados do usuário, essencialmente nos permitiu receber dados do servidor traseiro do aplicativo e visualizar nosso navegador.
Embora não fosse raro que os desenvolvedores publicassem os documentos da API, o problema aqui era que algumas solicitações de API poderiam ser feitas sem qualquer identidade – a senha ou as informações de identidade não foram obrigadas a retornar informações do banco de dados TeaoRHER. Em outras palavras, na API, em vez de todos na Internet, você pode executar comandos para acessar dados especiais que o aplicativo não deve ser acessado por um usuário.
Tudo isso foi documentado de maneira conveniente e pública para todos verem.
Atualmente, solicitando uma lista de usuários na fila de autenticação TeaoRher, por exemplo – nada além de nada sofisticado aqui – na página da API – dezenas de registros de conta para pessoas que se registraram recentemente no TeaoRher não retornarão.
Os registros retornados do servidor de TeaoRHER incluíram identificadores exclusivos de usuários no aplicativo (de fato, letras e números aleatórios), nomes de tela de perfil geral e endereços de e-mail especiais da idade e posição autorreferidas. Os registros também incluíram links de endereço da Web contendo licenças de driver dos usuários e fotos de selfies relevantes.
Pior, essas fotografias de licenças de motorista, identidades dadas pelo estado e selfies foram ocultas em um servidor S3 Cloud hospedado pela Amazon, que foi definido como acessível publicamente por todos com endereços da Web. Essa configuração pública permite que alguém abra arquivos sem restrições.
Com esse identificador de usuário exclusivo, também podemos usar a página da API para investigar os registros de usuários individuais que retornarão os dados da conta e qualquer um dos documentos de identificação relacionados. Com acesso sem precedentes à API, um usuário malicioso pode raspar uma grande quantidade de dados do usuário do aplicativo, como sem aplicação. Aplicação de chá para começar.
Faltavam cerca de 10 minutos do Bean e ainda não inserimos o aplicativo. Era muito fácil encontrar insetos, o que seria uma chance transparente se ninguém os tivesse encontrado antes.
Perguntamos, mas Lampkin não nos diz se ele tem capacidade técnica, como diários para determinar se a API usou (ou abuso) a qualquer momento a qualquer momento para acessar os documentos de verificação dos usuários, eliminando os endereços da Web das APIs da API.
Desde o nosso relatório fornecido à Lampin, a página de destino da API foi removida com a página do documento e agora mostra apenas o status do servidor em que a API do TeaoRher funciona como “saudável”. Pelo menos em testes superficiais, a API agora parece confiar na autenticação, e as chamadas anteriores feitas usando API não estão mais funcionando.
Os endereços da Web que contêm documentos de identidade dos usuários também são restritos à opinião pública.
O desenvolvedor da Teaoher rejeitou seus esforços para divulgar falhas
Considerando que o TeaoRher não era um site oficial durante nossas descobertas, o TechCrunch aplicou -se ao endereço E -POSTA listado na Política de Privacidade para explicar as turnês de segurança.
No entanto, E -Posta retornou com um erro que diz que e -Postta não pôde ser encontrado. Além disso, tentamos entrar em contato com o Lampkin através do endereço E -POSTA no site Newville Media, mas nosso e -mail retornou com a mesma mensagem de erro.
O TechCrunch alcançou o Lampkin através da mensagem do LinkedIn e pediu que ele desse um endereço de e -mail onde podemos enviar detalhes das falhas de segurança. Lampin respondeu a um “suporte” geral com um endereço de eil.
Quando o TechCrunch explica um defeito de segurança, primeiro nos deitamos para verificar se uma pessoa ou empresa é o comprador certo. Caso contrário, enviar cegamente os detalhes de um erro de segurança para a pessoa errada pode ser um risco. Antes de compartilhar certos detalhes dos defeitos, perguntamos ao destinatário se havia o endereço certo para divulgar uma exposição à segurança contendo dados do usuário do TeaoRher.
Lampin respondeu: “Você deve nos confundir com ‘aplicação de chá’, a lâmpada lâmpada respondeu com e -posta. (Não o fizemos.)” Não temos violações de segurança ou vazamento de dados “, disse ele. (Ele tinha.)” Temos mais barcos, mas ainda não nesta conversa, você não estava escalado, lamentou que tenha sido mal informado “. (Nós não estávamos.)
Uma cópia dos próprios dados da Lampkin para derrotar a seriedade dos defeitos de segurança do TechCrunch e alguns problemas de conexão e segurança às licenças de motorista expostas aos defeitos de segurança do TechCrunch e a alguns problemas de conexão e segurança.
“Obrigado por essas informações. Isso está muito interessado. Vamos pular agora”, disse Lampin.
Apesar de alguns e-mails de acompanhamento, não ouvimos de Lampin porque explicamos defeitos de segurança.
Durante um fim de semana, uma única loja de software ou uma codificação de vibração bilionária não é importante: os desenvolvedores ainda têm a responsabilidade de manter seus usuários seguros. Se você não puder manter os dados especiais de seus usuários seguros, não crie para iniciar.
Se você tiver evidências de um aplicativo ou vazamento de informações populares ou explicar informações, entre em contato. Você pode entrar em contato com este repórter com segurança através da mensagem criptografada em Zackwhittaker.1337 no sinal.
Sempre queremos desenvolver e nos ajudar, fornecendo informações sobre o TechCrunch sobre seu escopo, atividades e feedback! Para preencher Esta pesquisa Para nos informar como fizemos isso e ter a chance de ganhar um prêmio em troca!
