Saraah

Nach dem, was auf der Web-Seite von The Next zu lesen ist, hat ein britischer Forscher zahlreiche Sicherheitslücken in der Sarahah-Anwendung gemeldet, die unter Teenagern der letzte Schrei ist. Sarahah bedeutet auf Arabisch Ehrlichkeit. Und obwohl viele die Anwendung nutzen, um zu belästigen oder Mobbing zu üben, ist der Zweck der Anwendung genau das Gegenteil: unseren Mitmenschen ein Kompliment zu machen. Die Sicherheitsprobleme, auf die sie sich beziehen, beschränken sich ausschließlich auf die Desktop-Version der Sarahah-Anwendung, wobei die mobile Version vorerst kostenlos bleibt.

Viele Fehler plagen die Webversion von Sarahah

Scott Helme, ein Forscher, stellte fest, dass der CSRF-Virenschutz auf Sarahahs Website extrem leicht zu knacken war. Der CSRF-Virus ist äußerst schädlich und gefährlich, da er in der Lage ist, die Kontrolle über unser Konto zu übernehmen und Vorgänge durchzuführen, die nichts mit unserer Nutzung zu tun haben. Ein Angreifer, erklärt Helme, könnte unser Konto verwenden, um andere unbekannte Konten mit einem Lesezeichen zu versehen, um finanziell davon zu profitieren.

Er weist auch darauf hin, dass im vergangenen August ein anderer Forscher namens Rony Das ebenfalls weitere Sicherheitslücken entdeckte. Insbesondere wurde eine XSS-Schwachstelle gefunden. Kurz gesagt: Ein Hacker könnte schädlichen Code in den HTML-Code von Sarahahs Seite einfügen, der Viren und Spyware enth alten könnte.

Andere Probleme: Helme hat schwerwiegende Fehler im Sicherheitsheader identifiziert, die die Verwendung eines HSTS-Sicherheitsprotokolls verhindern. Dies ist ein Tool, das zunehmend zur Bekämpfung von Entführung von Cookies und der Möglichkeit eines Angriffs eingesetzt wird, der sich alte Versionen des Internets zunutze macht. Helmes Aufgabe ist es, Sarahah dazu zu bringen, ihre Benutzer angemessen zu schützen. Wie das Web feststellt, ist sein großer Konkurrent Ask.fm eine Website voller Fehler und Sicherheitslücken. Also, was gibt es Besseres als Sarahah, um aus den Fehlern dieser Seite zu lernen und eine sichere Webseite zu werden.

Belästigung und Teardown: Die Gefahr von Sarahah im Internet

Auch zum Sicherheits- und Anti-Belästigungsfilter hat der Forscher etwas zu sagen. Ihm ist aufgefallen, dass die Anwendung beispielsweise bei dem Satz „Ich würde für einen Cheeseburger töten“ den Beitrag löschen würde, da sie ein negatives Wort „Kill“ findet.Wenn jedoch ein Komma nach „Would kill“ gesetzt wurde, würde die Anwendung es ignorieren. Ja, es ist grammatikalisch nicht korrekt, aber die Nachricht würde trotzdem durchkommen.

Und noch mehr Fehlschläge: Auf Sarahahs Seite gibt es keine Begrenzung für die Geschwindigkeit, mit der ihre Benutzer Kommentare schreiben, sodass jeder mit einer einfachen Skriptzeile ein Bombardement von Belästigungen erleiden kann. Sarahah hat auch keine Massenlöschfunktion, wenn wir also Opfer eines Kommentarbombardements werden, müssen wir sie einzeln löschen.

Um das Passwort in Sarahah zurückzusetzen, fragt die Website den Benutzer außerdem nur nach der mit dem Konto verknüpften E-Mail-Adresse. Einmal angefordert, generiert das System ein neues und sendet es automatisch an den Benutzer. In diesem Sinne könnte ein Hacker eine Skriptzeile so ändern, dass sich das Passwort jeden Moment ändert, und es somit für den Besitzer des Kontos unmöglich wäre, darauf zuzugreifen.Dasselbe Skript könnte auch verwendet werden, um den Zugriff auf das Konto erfolglos zu machen, selbst wenn das Passwort gültig ist. Sarahah sperrt alle Benutzerkonten mit mehr als 10 Anmeldeversuchen.

Die Forscherin kontaktierte Sarahah später, um sie über all diese Lawine von Sicherheitsverletzungen in ihrer Webversion zu informieren. Eine Untersuchung, die Monate seiner Zeit in Anspruch genommen hat und die die Sarahah-Anwendung endlich zu einer Community machen kann, die frei von Belästigungen und vorsätzlichen Cyberangriffen ist.