Уязвимость в Tinder позволяет просматривать фото и действия пользователей

Вероника Елкина
Расскажите друзьям
Вероника Елкина

В 2018 году большинство приложений использует шифрование для передачи данных в облако, так, чтобы незнакомец, сидящий с вами в одном кафе, не мог узнать, какие секреты вы передаете кому-нибудь по Wi-Fi. Большинство, но не Tinder — самое популярное приложение для онлайн-знакомств. А это значит, что умелый хакер может легко посмотреть все ваши свайпы и фотографии.

Исследователи агентства по кибербезопасности Checkmarx из Тель-Авива обнаружили, что в Tinder нет стандартного протокола шифрования HTTPS. Любой пользователь, подключенный к одному с вами Wi-Fi может увидеть ваши фотографии в Tinder или даже выложить от вас собственные. Протоколом не защищены только фотографии — остальные данные приложения зашифрованы, однако, по словам экспертов Checkmarx, хакеры все равно могут слить достаточное количество информации для того, чтобы распознать зашифрованные команды и понять, когда пользователь смахивает влево, вправо или находит пару. Словно злоумышленник будет заглядывать к вам в телефон через плечо. Исследователи утверждают, что такая уязвимость может привести к неприятным последствиям — от простых случаев вуайеризма до шантажа.

Мы можем воссоздать точную картину того, что пользователь видит на экране, — рассказал Эрез Ялон, руководитель исследований в области безопасности приложений Checkmarx. — Можно узнать все — что человек делает, какие у него сексуальные предпочтения и много другой информации».

Чтобы продемонстрировать уязвимости Tinder, Checkmarkx разработали экспериментальную программу TinderDrift. Если запустить ее на ноутбуке, подключенном к сети Wi-Fi, в которой находятся пользователи Tinder, то можно автоматически воссоздать полную картину их сессии.

pic

Фото: ShutterStock

Эксперты обнаружили, что различные действия в приложении передаются в виде определенного количества байт, так что их можно распознать даже в зашифрованном виде. Например, свайп влево — это 278 байт, вправо — 374, а обнаружение пары — 581 байт. Таким образом, TinderDrift может отмечать, какая фотография получила одобрение или отказ. К счастью, по словам экспертов, программа не способна расшифровывать сообщения, которыми обменивается пара в Tinder.

Checkmarx сообщила Tinder об уязвимости еще в ноябре, но проблема так и остается нерешенной. Официальный представитель Tinder заявил, что компания постоянно работает над улучшением защиты от хакеров, и отметил, что обратит внимание на ситуацию с фотографиями (правда, про действия с этими фотографиями он ничего не сказал). Компания также сообщила, что протокол HTTPS работает в веб-версии приложения и в будущем он обязательно появится и в приложении.

Чтобы вы не ошиблись при выборе, Rusbase рекомендует своим читателям надежных юристов и адвокатов.

Вот уже несколько лет HTTPS является стандартной защитой для любого приложения или сайта, который заботится о конфиденциальности пользователей. О том, насколько опасно пренебрежением этим протоколом, заговорили еще в 2010 году, когда появилось экспериментальное расширение для Firefox Firesheep. Это расширение позволяло выкачивать любому пользователю весь незашифрованный трафик из локальной сети. С тех пор практически каждая крупная технологическая компания использует HTTPS, кроме, как оказалось, Tinder. Шифрование требует определенной производительности, однако современные сервера и телефоны с ней легко справляются. «В наше время не существует ни одной веской причины для отказа от использования HTTPS», — прокомментировал Ялон.

Для устранения уязвимости Checkmarx предлагает Tinder не только шифровать фотографии, но и укрепить защиту команд, добавив в их файлы «шума», чтобы они передавались одинакового размера. Неизвестно когда именно Tinder решит проблему, так что будьте осторожны, когда выкладываете фотографии в Tinder, подключившись к общественному Wi-Fi.

Источник.


Материалы по теме:

Я узнал свой внутренний рейтинг в Tinder и пожалел об этом

Как преступники используют Uber, Tinder и Airbnb

Приложение Meitu для аниме-селфи может быть опасным

Путь к «сердцу» компании лежит через Wi-Fi – как работают злоумышленники


Актуальные материалы — в Telegram-канале @Rusbase

Нашли опечатку? Выделите текст и нажмите Ctrl + Enter


Комментарии

Зарегистрируйтесь, чтобы оставлять комментарии и получить доступ к Pipeline — социальной сети, соединяющей стартапы и инвесторов.
Запуск пилотов со стартапами. Кейсы корпораций
28 июня 2018
Ещё события


Telegram канал @rusbase