H δημοφιλής εφαρμογή MyFitnessPal, η οποία χρησιμοποιείται από 65 εκατομμύρια χρήστες, περιείχε μια ευπάθεια που εξέθετε προσωπικές πληροφορίες, όπως τις ημερομηνίες γεννήσεως, των χρηστών.
To MyFitnessPal δίνει τη δυνατότητα στους χρήστες να καταχωρούν προσωπικά τους στοιχεία, όπως την χώρα, το κράτος και την πόλη τους. Ωστόσο, οι πληροφορίες αυτές θα μπορούσαν να είναι ορατές στον καθένα, σύμφωνα με τον ερευνητή ασφάλειας Randy Westergren, λόγω μιας ευπάθειας τύπου direct object reference που περιείχε η εφαρμογή.
“Χρησιμοποιώντας Fiddler proxy, άρχισα να παρακολουθώ τις δικές μου αλληλεπιδράσεις εντός του Android App, “συλλαμβάνοντας” τα requests που υποβάλλονταν στο undocumented MyFitnessPal API”, ανέφερε ο Westergren.
Ένα «νέο αστέρι» φωτίζεται στο νυχτερινό ουρανό
Mark Zuckerberg: Έγινε ο δεύτερος πλουσιότερος άνθρωπος! 💰💰
Ανακαλύψτε το Νέο Ανθρωποειδές Ρομπότ GR-2!
“Παρατήρησα ένα ενδιαφέρον request προς αυτό το URL: https://api.myfitnesspal.com/v2/users/23662613557054 – ένα απλό request για τη λήψη πληροφοριών σχετικά τον χρήστη μου, το οποίο έμοιαζε σαν πιθανό insecure direct object reference.”
Ο Westergren έγραψε ένα απλό PHP script για να δοκιμάσει και να εξάγει και άλλα δεδομένα χρηστών, αντικαθιστώντας την ακολουθία αριθμών στο τέλος του URL, και ανέφερε το ελάττωμα στο MyFitnessPal.
Οι προγραμματιστές της εφαρμογής ανταποκρίθηκαν άμεσα και επιδιόρθωσαν το απλό αυτό σφάλμα εντός δύο ημερών, από την ημερομηνία αναφοράς.