Sarahah, una aplicación llena de problemas de seguridad

Según se puede leer en la página The Next Web, un investigador británico ha informado de numerosas fallas de seguridad en la aplicación Sarahah, que hace furor entre los adolescentes. Sarahah, en árabe, significa honestidad. Y aunque muchos estén usando la aplicación para acosar o practicar el bullying, el fin de la aplicación es, exactamente, el contrario: lanzar cumplidos a nuestros semejantes. Los problemas de seguridad a los que se refieren se ciñen, exclusivamente, a la versión escritorio de la aplicación Sarahah, quedando su versión móvil libre, por el momento.

Un montón de fallos asolan la versión web de Sarahah

Scott Helme, investigador, descubrió que la protección contra virus CSRF de la web de Sarahah era tremendamente fácil de quebrantar. El virus CSRF es tremendamente dañino y peligroso, pudiendo hacerse con el control de nuestra cuenta, realizando operaciones ajenas a nuestro uso. Un atacante, explica Helme, podrí­a usar nuestra cuenta para marcar como favoritos otras cuentas desconocidas, con el fin de sacar provecho económico.

Asimismo señala que en el pasado mes de agosto otro investigador llamado Rony Das también descubrió más agujeros de seguridad. Concretamente, encontró una vulnerabilidad XSS. Resumiendo: un hacker podrí­a introducir, en el código HTML de la página de Sarahah, códigos maliciosos que podrí­an incluir virus y programas espí­a.

Sarahah ciberacoso

Otros problemas: Helme identificó graves errores en el encabezado de seguridad, que impide utilizar un protocolo de seguridad HSTS. Es ésta una herramienta cada vez más utilizada para luchar contra el secuestro de cookies y la posibilidad de que haya un ataque aprovechando versiones antiguas de la web. El trabajo de Helme es intentar que Sarahah proteja como es debido a sus usuarios. Tal y como afirma la web, su gran competidor, Ask.fm, es un sitio plagado de errores y fallas en su seguridad. Así­ que, qué mejor que Sarahah aprenda de los fallos de ésta y se convierta en una página web segura.

Acoso y derribo: el peligro de Sarahah en la web

Con respecto al filtro de seguridad y anti-acoso, el investigador también tiene algo que decir. Ha advertido que, por ejemplo, en la frase ‘Matarí­a por una hamburguesa con queso’, la aplicación eliminarí­a el post, puesto que encuentra una palabra negativa, ‘Matar’. Sin embargo, si se colocara una coma tras ‘Matarí­a’, la aplicación harí­a caso omiso. Sí­, no es correcta gramaticalmente, pero el mensaje llegarí­a de todos modos.

Y más fallos: la página de Sarahah no tiene limites en cuanto a la velocidad en la que sus usuarios escriben los comentarios, por lo que cualquier persona puede sufrir un bombardeo de acoso, con una simple lí­nea de script. Sarahah, además, no tiene ninguna función de borrado masivo, por lo que si somos ví­ctimas de un bombardeo de comentarios, debemos eliminarlos uno a uno.

login en sarahah

Además, para restablecer la contraseña en Sarahah, la web solo pide al usuario la dirección de correo asociada a la cuenta. Una vez solicitada, el sistema genera una nueva y la enví­a, automáticamente, al usuario. En este sentido, un hacker podrí­a cambiar una lí­nea de script para que la contraseña cambiara cada instante, y así­ serí­a imposible para el dueño de la cuenta poder acceder a la misma. Este mismo script podrí­a ser usado, asimismo, para que el acceso a la cuenta resultara fallido, aún colocando la contraseña valida. Sarahah bloquea todas las cuentas de usuario que superan en 10 los intentos de acceso a la misma.

El investigador contactó posteriormente con Sarahah para informarle de toda esa avalancha de brechas de seguridad en su versión web. Una investigación que le ha llevado meses de su tiempo y que pueden conseguir, por fin, que la aplicación Sarahah sea una comunidad libre de acoso y de ciberataques premeditados.

RECIBE NUESTRO NEWSLETTER
Suscríbete para recibir las últimas noticias de tecnología en tu buzón. Te mandaremos un único mail al día con el resumen de los titulares de las noticias, trucos, comparativas, reviews publicadas en nuestras webs.
Servicio ofrecido por Mailchimp