Уязвимость в Tinder позволяет просматривать фото и действия пользователей
Проблема в отсутствии HTTPS
В 2018 году большинство приложений использует шифрование для передачи данных в облако, так, чтобы незнакомец, сидящий с вами в одном кафе, не мог узнать, какие секреты вы передаете кому-нибудь по Wi-Fi. Большинство, но не Tinder — самое популярное приложение для онлайн-знакомств. А это значит, что умелый хакер может легко посмотреть все ваши свайпы и фотографии.
Исследователи агентства по кибербезопасности Checkmarx из Тель-Авива обнаружили, что в Tinder нет стандартного протокола шифрования HTTPS. Любой пользователь, подключенный к одному с вами Wi-Fi может увидеть ваши фотографии в Tinder или даже выложить от вас собственные. Протоколом не защищены только фотографии — остальные данные приложения зашифрованы, однако, по словам экспертов Checkmarx, хакеры все равно могут слить достаточное количество информации для того, чтобы распознать зашифрованные команды и понять, когда пользователь смахивает влево, вправо или находит пару. Словно злоумышленник будет заглядывать к вам в телефон через плечо. Исследователи утверждают, что такая уязвимость может привести к неприятным последствиям — от простых случаев вуайеризма до шантажа.
Мы можем воссоздать точную картину того, что пользователь видит на экране, — рассказал Эрез Ялон, руководитель исследований в области безопасности приложений Checkmarx. — Можно узнать все — что человек делает, какие у него сексуальные предпочтения и много другой информации».
Чтобы продемонстрировать уязвимости Tinder, Checkmarkx разработали экспериментальную программу TinderDrift. Если запустить ее на ноутбуке, подключенном к сети Wi-Fi, в которой находятся пользователи Tinder, то можно автоматически воссоздать полную картину их сессии.
Фото: ShutterStock
Эксперты обнаружили, что различные действия в приложении передаются в виде определенного количества байт, так что их можно распознать даже в зашифрованном виде. Например, свайп влево — это 278 байт, вправо — 374, а обнаружение пары — 581 байт. Таким образом, TinderDrift может отмечать, какая фотография получила одобрение или отказ. К счастью, по словам экспертов, программа не способна расшифровывать сообщения, которыми обменивается пара в Tinder.
Checkmarx сообщила Tinder об уязвимости еще в ноябре, но проблема так и остается нерешенной. Официальный представитель Tinder заявил, что компания постоянно работает над улучшением защиты от хакеров, и отметил, что обратит внимание на ситуацию с фотографиями (правда, про действия с этими фотографиями он ничего не сказал). Компания также сообщила, что протокол HTTPS работает в веб-версии приложения и в будущем он обязательно появится и в приложении.
Вот уже несколько лет HTTPS является стандартной защитой для любого приложения или сайта, который заботится о конфиденциальности пользователей. О том, насколько опасно пренебрежением этим протоколом, заговорили еще в 2010 году, когда появилось экспериментальное расширение для Firefox Firesheep. Это расширение позволяло выкачивать любому пользователю весь незашифрованный трафик из локальной сети. С тех пор практически каждая крупная технологическая компания использует HTTPS, кроме, как оказалось, Tinder. Шифрование требует определенной производительности, однако современные сервера и телефоны с ней легко справляются. «В наше время не существует ни одной веской причины для отказа от использования HTTPS», — прокомментировал Ялон.
Для устранения уязвимости Checkmarx предлагает Tinder не только шифровать фотографии, но и укрепить защиту команд, добавив в их файлы «шума», чтобы они передавались одинакового размера. Неизвестно когда именно Tinder решит проблему, так что будьте осторожны, когда выкладываете фотографии в Tinder, подключившись к общественному Wi-Fi.
Материалы по теме:
Я узнал свой внутренний рейтинг в Tinder и пожалел об этом
Как преступники используют Uber, Tinder и Airbnb
Приложение Meitu для аниме-селфи может быть опасным
Путь к «сердцу» компании лежит через Wi-Fi – как работают злоумышленники
-
Партнёрский материал Онлайн-инкассация: как превратить наличную выручку в рабочий капитал 01 июня 2026, 10:00
-
Автомобили От гоночной трассы до «Матрицы»: история Ducati 10 июля 2026, 23:39
-
Автомобили Как машина для гонок стала символом тихих денег: история Bentley 09 июля 2026, 02:55
-
Бизнес Не из гаража, а почти из холодильника: история Geely 01 июля 2026, 14:58
-
Личное Из фарцовщика в создателя дизайн-завода Flacon: как Николай Матушевский дважды бросал свой бизнес и начинал с нуля 05 мая 2026, 12:09
-
Личное Лэй Цзюнь. Как создатель Xiaomi заработал 30,4 млрд $ на дешёвых смартфонах 13 июля 2026, 20:56
-
Личное Лионель Месси. Как мальчик с дефицитом гормона роста стал самым титулованным футболистом в истории 11 июля 2026, 20:02
-
Личное Ламин Ямаль. Как сын бедных иммигрантов стал самым дорогим подростком мирового футбола 10 июля 2026, 21:17
-
Маркетплейсы Wildberries запускает платформу WB Service — владельцы ПВЗ смогут искать мастеров по ремонту и обслуживанию точек 14 июля 2026, 11:04
-
Россия Китайские сериалы впервые обогнали корейские по популярности в России — на них приходится 51% азиатского контента 14 июля 2026, 10:00
-
IT Конкуренция в ИТ усилилась: в 2025 году на рынок вышло 350 тыс. специалистов, но вакансий стало на треть меньше 13 июля 2026, 20:40
-
Автомобили Wildberries успешно завершила тестирование WB Taxi в Минске — сервис стал доступен всем пользователям 13 июля 2026, 20:20
-
IT Каждая пятая IT-компания в России готовится к падению выручки: уже столкнувшиеся с кризисом фирмы не ждут улучшений 13 июля 2026, 20:00
-
Автомобили Электрокар «Атом» включили в список разрешенных для такси — сам автомобиль даже не поступил в продажу 13 июля 2026, 19:45
-
Автомобили Лидером рынка премиум-авто в России стал китайский VOYAH — стоимость моделей начинается от 5 млн ₽ 13 июля 2026, 19:30
-
Личное Глава NASA прилетел на Байконур впервые за 8 лет — он будет присутствовать при запуске ракеты «Союз» на МКС 13 июля 2026, 18:10
