Según se puede leer en la página The Next Web, un investigador británico ha informado de numerosas fallas de seguridad en la aplicación Sarahah, que hace furor entre los adolescentes. Sarahah, en árabe, significa honestidad. Y aunque muchos estén usando la aplicación para acosar o practicar el bullying, el fin de la aplicación es, exactamente, el contrario: lanzar cumplidos a nuestros semejantes. Los problemas de seguridad a los que se refieren se ciñen, exclusivamente, a la versión escritorio de la aplicación Sarahah, quedando su versión móvil libre, por el momento.
Un montón de fallos asolan la versión web de Sarahah
Scott Helme, investigador, descubrió que la protección contra virus CSRF de la web de Sarahah era tremendamente fácil de quebrantar. El virus CSRF es tremendamente dañino y peligroso, pudiendo hacerse con el control de nuestra cuenta, realizando operaciones ajenas a nuestro uso. Un atacante, explica Helme, podría usar nuestra cuenta para marcar como favoritos otras cuentas desconocidas, con el fin de sacar provecho económico.
Asimismo señala que en el pasado mes de agosto otro investigador llamado Rony Das también descubrió más agujeros de seguridad. Concretamente, encontró una vulnerabilidad XSS. Resumiendo: un hacker podría introducir, en el código HTML de la página de Sarahah, códigos maliciosos que podrían incluir virus y programas espía.
Otros problemas: Helme identificó graves errores en el encabezado de seguridad, que impide utilizar un protocolo de seguridad HSTS. Es ésta una herramienta cada vez más utilizada para luchar contra el secuestro de cookies y la posibilidad de que haya un ataque aprovechando versiones antiguas de la web. El trabajo de Helme es intentar que Sarahah proteja como es debido a sus usuarios. Tal y como afirma la web, su gran competidor, Ask.fm, es un sitio plagado de errores y fallas en su seguridad. Así que, qué mejor que Sarahah aprenda de los fallos de ésta y se convierta en una página web segura.
Acoso y derribo: el peligro de Sarahah en la web
Con respecto al filtro de seguridad y anti-acoso, el investigador también tiene algo que decir. Ha advertido que, por ejemplo, en la frase ‘Mataría por una hamburguesa con queso’, la aplicación eliminaría el post, puesto que encuentra una palabra negativa, ‘Matar’. Sin embargo, si se colocara una coma tras ‘Mataría’, la aplicación haría caso omiso. Sí, no es correcta gramaticalmente, pero el mensaje llegaría de todos modos.
Y más fallos: la página de Sarahah no tiene limites en cuanto a la velocidad en la que sus usuarios escriben los comentarios, por lo que cualquier persona puede sufrir un bombardeo de acoso, con una simple línea de script. Sarahah, además, no tiene ninguna función de borrado masivo, por lo que si somos víctimas de un bombardeo de comentarios, debemos eliminarlos uno a uno.
Además, para restablecer la contraseña en Sarahah, la web solo pide al usuario la dirección de correo asociada a la cuenta. Una vez solicitada, el sistema genera una nueva y la envía, automáticamente, al usuario. En este sentido, un hacker podría cambiar una línea de script para que la contraseña cambiara cada instante, y así sería imposible para el dueño de la cuenta poder acceder a la misma. Este mismo script podría ser usado, asimismo, para que el acceso a la cuenta resultara fallido, aún colocando la contraseña valida. Sarahah bloquea todas las cuentas de usuario que superan en 10 los intentos de acceso a la misma.
El investigador contactó posteriormente con Sarahah para informarle de toda esa avalancha de brechas de seguridad en su versión web. Una investigación que le ha llevado meses de su tiempo y que pueden conseguir, por fin, que la aplicación Sarahah sea una comunidad libre de acoso y de ciberataques premeditados.