Истории

Уязвимость в Tinder позволяет просматривать фото и действия пользователей

Истории
Вероника Елкина
Вероника Елкина

Ex-Редактор «Историй»

Вероника Елкина

В 2018 году большинство приложений использует шифрование для передачи данных в облако, так, чтобы незнакомец, сидящий с вами в одном кафе, не мог узнать, какие секреты вы передаете кому-нибудь по Wi-Fi. Большинство, но не Tinder — самое популярное приложение для онлайн-знакомств. А это значит, что умелый хакер может легко посмотреть все ваши свайпы и фотографии.

Уязвимость в Tinder позволяет просматривать фото и действия пользователей
Присоединиться

Исследователи агентства по кибербезопасности Checkmarx из Тель-Авива обнаружили, что в Tinder нет стандартного протокола шифрования HTTPS. Любой пользователь, подключенный к одному с вами Wi-Fi может увидеть ваши фотографии в Tinder или даже выложить от вас собственные. Протоколом не защищены только фотографии — остальные данные приложения зашифрованы, однако, по словам экспертов Checkmarx, хакеры все равно могут слить достаточное количество информации для того, чтобы распознать зашифрованные команды и понять, когда пользователь смахивает влево, вправо или находит пару. Словно злоумышленник будет заглядывать к вам в телефон через плечо. Исследователи утверждают, что такая уязвимость может привести к неприятным последствиям — от простых случаев вуайеризма до шантажа.

Мы можем воссоздать точную картину того, что пользователь видит на экране, — рассказал Эрез Ялон, руководитель исследований в области безопасности приложений Checkmarx. — Можно узнать все — что человек делает, какие у него сексуальные предпочтения и много другой информации».

Чтобы продемонстрировать уязвимости Tinder, Checkmarkx разработали экспериментальную программу TinderDrift. Если запустить ее на ноутбуке, подключенном к сети Wi-Fi, в которой находятся пользователи Tinder, то можно автоматически воссоздать полную картину их сессии.

pic

Фото: ShutterStock

Эксперты обнаружили, что различные действия в приложении передаются в виде определенного количества байт, так что их можно распознать даже в зашифрованном виде. Например, свайп влево — это 278 байт, вправо — 374, а обнаружение пары — 581 байт. Таким образом, TinderDrift может отмечать, какая фотография получила одобрение или отказ. К счастью, по словам экспертов, программа не способна расшифровывать сообщения, которыми обменивается пара в Tinder.

Checkmarx сообщила Tinder об уязвимости еще в ноябре, но проблема так и остается нерешенной. Официальный представитель Tinder заявил, что компания постоянно работает над улучшением защиты от хакеров, и отметил, что обратит внимание на ситуацию с фотографиями (правда, про действия с этими фотографиями он ничего не сказал). Компания также сообщила, что протокол HTTPS работает в веб-версии приложения и в будущем он обязательно появится и в приложении.

Стать востребованным специалистом по кибербезопасности можно, выбрав онлайн-курс в каталоге курсов по информационной безопасности.

Вот уже несколько лет HTTPS является стандартной защитой для любого приложения или сайта, который заботится о конфиденциальности пользователей. О том, насколько опасно пренебрежением этим протоколом, заговорили еще в 2010 году, когда появилось экспериментальное расширение для Firefox Firesheep. Это расширение позволяло выкачивать любому пользователю весь незашифрованный трафик из локальной сети. С тех пор практически каждая крупная технологическая компания использует HTTPS, кроме, как оказалось, Tinder. Шифрование требует определенной производительности, однако современные сервера и телефоны с ней легко справляются. «В наше время не существует ни одной веской причины для отказа от использования HTTPS», — прокомментировал Ялон.

Для устранения уязвимости Checkmarx предлагает Tinder не только шифровать фотографии, но и укрепить защиту команд, добавив в их файлы «шума», чтобы они передавались одинакового размера. Неизвестно когда именно Tinder решит проблему, так что будьте осторожны, когда выкладываете фотографии в Tinder, подключившись к общественному Wi-Fi.

Источник.


Материалы по теме:

Я узнал свой внутренний рейтинг в Tinder и пожалел об этом

Как преступники используют Uber, Tinder и Airbnb

Приложение Meitu для аниме-селфи может быть опасным

Путь к «сердцу» компании лежит через Wi-Fi – как работают злоумышленники

Нашли опечатку? Выделите текст и нажмите Ctrl + Enter

Материалы по теме

  1. 1 Как создать российский сервис знакомств, который будет лучше Tinder, и сколько это может стоить
  2. 2 8 дейтинговых сервисов на замену Tinder
  3. 3 Тиндер в Монголии: почему диджитал не приносит в юрту счастья
  4. 4 Глава Tinder рассказал, как создал многомиллиардный стартап в 20+ лет
  5. 5 Всегда говори «ДА» в Tinder