В 2018 году большинство приложений использует шифрование для передачи данных в облако, так, чтобы незнакомец, сидящий с вами в одном кафе, не мог узнать, какие секреты вы передаете кому-нибудь по Wi-Fi. Большинство, но не Tinder — самое популярное приложение для онлайн-знакомств. А это значит, что умелый хакер может легко посмотреть все ваши свайпы и фотографии.
Исследователи агентства по кибербезопасности Checkmarx из Тель-Авива обнаружили, что в Tinder нет стандартного протокола шифрования HTTPS. Любой пользователь, подключенный к одному с вами Wi-Fi может увидеть ваши фотографии в Tinder или даже выложить от вас собственные. Протоколом не защищены только фотографии — остальные данные приложения зашифрованы, однако, по словам экспертов Checkmarx, хакеры все равно могут слить достаточное количество информации для того, чтобы распознать зашифрованные команды и понять, когда пользователь смахивает влево, вправо или находит пару. Словно злоумышленник будет заглядывать к вам в телефон через плечо. Исследователи утверждают, что такая уязвимость может привести к неприятным последствиям — от простых случаев вуайеризма до шантажа.
Мы можем воссоздать точную картину того, что пользователь видит на экране, — рассказал Эрез Ялон, руководитель исследований в области безопасности приложений Checkmarx. — Можно узнать все — что человек делает, какие у него сексуальные предпочтения и много другой информации».
Чтобы продемонстрировать уязвимости Tinder, Checkmarkx разработали экспериментальную программу TinderDrift. Если запустить ее на ноутбуке, подключенном к сети Wi-Fi, в которой находятся пользователи Tinder, то можно автоматически воссоздать полную картину их сессии.
Фото: ShutterStock
Эксперты обнаружили, что различные действия в приложении передаются в виде определенного количества байт, так что их можно распознать даже в зашифрованном виде. Например, свайп влево — это 278 байт, вправо — 374, а обнаружение пары — 581 байт. Таким образом, TinderDrift может отмечать, какая фотография получила одобрение или отказ. К счастью, по словам экспертов, программа не способна расшифровывать сообщения, которыми обменивается пара в Tinder.
Checkmarx сообщила Tinder об уязвимости еще в ноябре, но проблема так и остается нерешенной. Официальный представитель Tinder заявил, что компания постоянно работает над улучшением защиты от хакеров, и отметил, что обратит внимание на ситуацию с фотографиями (правда, про действия с этими фотографиями он ничего не сказал). Компания также сообщила, что протокол HTTPS работает в веб-версии приложения и в будущем он обязательно появится и в приложении.
Вот уже несколько лет HTTPS является стандартной защитой для любого приложения или сайта, который заботится о конфиденциальности пользователей. О том, насколько опасно пренебрежением этим протоколом, заговорили еще в 2010 году, когда появилось экспериментальное расширение для Firefox Firesheep. Это расширение позволяло выкачивать любому пользователю весь незашифрованный трафик из локальной сети. С тех пор практически каждая крупная технологическая компания использует HTTPS, кроме, как оказалось, Tinder. Шифрование требует определенной производительности, однако современные сервера и телефоны с ней легко справляются. «В наше время не существует ни одной веской причины для отказа от использования HTTPS», — прокомментировал Ялон.
Для устранения уязвимости Checkmarx предлагает Tinder не только шифровать фотографии, но и укрепить защиту команд, добавив в их файлы «шума», чтобы они передавались одинакового размера. Неизвестно когда именно Tinder решит проблему, так что будьте осторожны, когда выкладываете фотографии в Tinder, подключившись к общественному Wi-Fi.
Материалы по теме:
Я узнал свой внутренний рейтинг в Tinder и пожалел об этом
Как преступники используют Uber, Tinder и Airbnb
Приложение Meitu для аниме-селфи может быть опасным
Путь к «сердцу» компании лежит через Wi-Fi – как работают злоумышленники
Нашли опечатку? Выделите текст и нажмите Ctrl + Enter
Материалы по теме
- 1 Как создать российский сервис знакомств, который будет лучше Tinder, и сколько это может стоить
- 2 8 дейтинговых сервисов на замену Tinder
- 3 Тиндер в Монголии: почему диджитал не приносит в юрту счастья
- 4 Глава Tinder рассказал, как создал многомиллиардный стартап в 20+ лет
- 5 Всегда говори «ДА» в Tinder
ВОЗМОЖНОСТИ
10 сентября 2024
10 сентября 2024
10 сентября 2024