سارہ

دی نیکسٹ ویب پیج پر جو کچھ پڑھا جا سکتا ہے اس کے مطابق، ایک برطانوی محقق نے سارہ ایپلی کیشن میں بہت سی حفاظتی خامیوں کی اطلاع دی ہے، جو نوجوانوں میں غصے کا باعث ہے۔ عربی میں سارہ کا مطلب ایمانداری ہے۔ اور اگرچہ بہت سے لوگ ہراساں کرنے یا غنڈہ گردی کرنے کے لیے ایپلی کیشن کا استعمال کر رہے ہیں، لیکن درخواست کا مقصد بالکل برعکس ہے: اپنے ساتھی مردوں کی تعریف کرنا۔ سیکیورٹی کے مسائل جن کا وہ حوالہ دیتے ہیں وہ صرف سارہ ایپلی کیشن کے ڈیسک ٹاپ ورژن تک ہی محدود ہیں، اس کے موبائل ورژن کو اس لمحے کے لیے مفت چھوڑ دیا گیا ہے۔

سارہ کے ویب ورژن میں بہت سے کیڑے آتے ہیں

Scott Helme، ایک محقق نے پایا کہ سارہ کی ویب سائٹ پر CSRF وائرس سے تحفظ کو توڑنا انتہائی آسان تھا۔ CSRF وائرس انتہائی نقصان دہ اور خطرناک ہے، جو ہمارے اکاؤنٹ کو کنٹرول کرنے کے قابل ہے، ہمارے استعمال سے غیر متعلق آپریشنز کو انجام دیتا ہے۔ ایک حملہ آور، ہیلمے کی وضاحت کرتا ہے، ہمارے اکاؤنٹ کو دوسرے نامعلوم اکاؤنٹس کو بُک مارک کرنے کے لیے استعمال کر سکتا ہے، تاکہ مالی فائدہ حاصل کیا جا سکے۔

وہ یہ بھی بتاتے ہیں کہ پچھلے اگست میں رونی داس نامی ایک اور محقق نے بھی مزید حفاظتی سوراخ دریافت کیے تھے۔ خاص طور پر، اس میں ایک XSS کمزوری پائی گئی۔ مختصراً: ایک ہیکر سارہ کے صفحہ کے HTML میں بدنیتی پر مبنی کوڈ داخل کر سکتا ہے، جس میں وائرس اور اسپائی ویئر شامل ہو سکتے ہیں۔

دیگر مسائل: ہیلم نے سیکیورٹی ہیڈر میں سنگین خامیوں کی نشاندہی کی، جو HSTS سیکیورٹی پروٹوکول کے استعمال کو روکتی ہے۔ یہ ایک ایسا آلہ ہے جو تیزی سے کوکیز کے ہائی جیکنگ اور ویب کے پرانے ورژن سے فائدہ اٹھاتے ہوئے حملے کے امکان کے خلاف لڑنے کے لیے استعمال ہوتا ہے۔ Helme کا کام یہ ہے کہ وہ سارہ کو اپنے صارفین کو صحیح طریقے سے تحفظ فراہم کرنے کی کوشش کرے۔ جیسا کہ ویب بیان کرتا ہے، اس کا عظیم حریف، Ask.fm، غلطیوں اور حفاظتی خامیوں سے بھری سائٹ ہے۔ اس لیے سارہ سے بہتر اور کیا ہوگا کہ وہ اس کی ناکامیوں سے سیکھیں اور ایک محفوظ ویب پیج بنیں۔

ہراساں کرنا اور پھاڑنا: ویب پر سارہ کا خطرہ

سیکیورٹی اور اینٹی ہراسمنٹ فلٹر کے حوالے سے، محقق کے پاس بھی کچھ کہنا ہے۔ اس نے دیکھا ہے کہ، مثال کے طور پر، 'I will kill for a cheeseburger' کے جملے میں، درخواست پوسٹ کو حذف کر دے گی، کیونکہ اس میں ایک منفی لفظ 'Kill' ملتا ہے۔تاہم، اگر 'Would kill' کے بعد کوما لگایا جاتا ہے، تو ایپلیکیشن اسے نظر انداز کر دے گی۔ جی ہاں، یہ گرامر کے لحاظ سے درست نہیں ہے، لیکن پیغام بہرحال پہنچ جائے گا۔

اور مزید ناکامیاں: سارہ کے صفحہ پر اس رفتار کی کوئی حد نہیں ہے جس سے اس کے صارفین تبصرے لکھتے ہیں، لہذا اسکرپٹ کی ایک سادہ لائن کے ساتھ کوئی بھی شخص ہراساں کیے جانے کا نشانہ بن سکتا ہے۔ سارہ کے پاس بھی کوئی ماس ڈیلیٹ فنکشن نہیں ہے، لہذا اگر ہم تبصرے کی بمباری کے شکار ہیں، تو ہمیں انہیں ایک ایک کرکے حذف کرنا چاہیے۔

اس کے علاوہ سارہ میں پاس ورڈ کو ری سیٹ کرنے کے لیے ویب سائٹ صارف سے صرف اکاؤنٹ سے منسلک ای میل ایڈریس مانگتی ہے۔ ایک بار درخواست کرنے کے بعد، سسٹم ایک نیا بناتا ہے اور اسے خود بخود صارف کو بھیج دیتا ہے۔ اس لحاظ سے، ایک ہیکر اسکرپٹ کی ایک لائن کو تبدیل کر سکتا ہے تاکہ پاس ورڈ ہر لمحہ تبدیل ہوتا رہے، اور اس طرح اکاؤنٹ کے مالک کے لیے اس تک رسائی ناممکن ہو جائے گی۔اسی اسکرپٹ کو اکاؤنٹ تک رسائی کو ناکام بنانے کے لیے بھی استعمال کیا جا سکتا ہے، چاہے پاس ورڈ درست ہو۔ سارہ تمام صارف اکاؤنٹس کو لاک کر دیتا ہے جن میں 10 سے زیادہ لاگ ان کی کوششیں ہوتی ہیں۔

محققین نے بعد میں سارہہ سے رابطہ کیا تاکہ اسے اس کے ویب ورژن میں برفانی طوفان سے آگاہ کیا جا سکے۔ ایک تحقیقات جس میں مہینوں کا وقت لگا ہے اور جو آخر کار سارہ ایپلیکیشن کو ہراساں کرنے اور پہلے سے طے شدہ سائبر حملوں سے پاک کمیونٹی بنا سکتی ہے۔