Уязвимость в Tinder позволяет просматривать фото и действия пользователей

Исследователи агентства по кибербезопасности Checkmarx из Тель-Авива обнаружили, что в Tinder нет стандартного протокола шифрования HTTPS. Любой пользователь, подключенный к одному с вами Wi-Fi может увидеть ваши фотографии в Tinder или даже выложить от вас собственные. Протоколом не защищены только фотографии — остальные данные приложения зашифрованы, однако, по словам экспертов Checkmarx, хакеры все равно могут слить достаточное количество информации для того, чтобы распознать зашифрованные команды и понять, когда пользователь смахивает влево, вправо или находит пару. Словно злоумышленник будет заглядывать к вам в телефон через плечо. Исследователи утверждают, что такая уязвимость может привести к неприятным последствиям — от простых случаев вуайеризма до шантажа.

Чтобы продемонстрировать уязвимости Tinder, Checkmarkx разработали экспериментальную программу TinderDrift. Если запустить ее на ноутбуке, подключенном к сети Wi-Fi, в которой находятся пользователи Tinder, то можно автоматически воссоздать полную картину их сессии.

Фото: ShutterStock

Эксперты обнаружили, что различные действия в приложении передаются в виде определенного количества байт, так что их можно распознать даже в зашифрованном виде. Например, свайп влево — это 278 байт, вправо — 374, а обнаружение пары — 581 байт. Таким образом, TinderDrift может отмечать, какая фотография получила одобрение или отказ. К счастью, по словам экспертов, программа не способна расшифровывать сообщения, которыми обменивается пара в Tinder.

Checkmarx сообщила Tinder об уязвимости еще в ноябре, но проблема так и остается нерешенной. Официальный представитель Tinder заявил, что компания постоянно работает над улучшением защиты от хакеров, и отметил, что обратит внимание на ситуацию с фотографиями (правда, про действия с этими фотографиями он ничего не сказал). Компания также сообщила, что протокол HTTPS работает в веб-версии приложения и в будущем он обязательно появится и в приложении.

Вот уже несколько лет HTTPS является стандартной защитой для любого приложения или сайта, который заботится о конфиденциальности пользователей. О том, насколько опасно пренебрежением этим протоколом, заговорили еще в 2010 году, когда появилось экспериментальное расширение для Firefox Firesheep. Это расширение позволяло выкачивать любому пользователю весь незашифрованный трафик из локальной сети. С тех пор практически каждая крупная технологическая компания использует HTTPS, кроме, как оказалось, Tinder. Шифрование требует определенной производительности, однако современные сервера и телефоны с ней легко справляются. «В наше время не существует ни одной веской причины для отказа от использования HTTPS», — прокомментировал Ялон.

Для устранения уязвимости Checkmarx предлагает Tinder не только шифровать фотографии, но и укрепить защиту команд, добавив в их файлы «шума», чтобы они передавались одинакового размера. Неизвестно когда именно Tinder решит проблему, так что будьте осторожны, когда выкладываете фотографии в Tinder, подключившись к общественному Wi-Fi.

Источник.

Материалы по теме:

Я узнал свой внутренний рейтинг в Tinder и пожалел об этом

Как преступники используют Uber, Tinder и Airbnb

Приложение Meitu для аниме-селфи может быть опасным

Путь к «сердцу» компании лежит через Wi-Fi – как работают злоумышленники