В Tinder нашли уязвимость. Хакеры могут узнать о ваших фото, лайках и парах

24 января 2018, 11:30

дейтинг-приложение Tinder дейтинг-приложение Tinder
Фото: verge

Исследователи из тель-авивской компании Checkmarx обнаружили, что дейтинг-приложение Tinder имеет серьезные проблемы с безопасностью.

Несмотря на то что большинство передаваемых между пользователем и облачными серверами данных проходят по защищенному протоколу HTTPS, разработчики не потрудились ввести его поддержку для фотографий профиля. Любой пользователь одной и той же сети Wi-Fi может посмотреть чужие снимки из Tinder или даже добавлять свои в посторонние аккаунты.

Свайпы и лайки, в свою очередь, хотя и передаются в защищенном виде, генерируют запросы с четко определенным объемом в байтах. Например, однажды установив, что смахивание влево это 278 байт, вправо — 370 байт, а совпадение равняется 570 байтам, можно следить за активностью другого юзера.

 

Эрец Ялон из Checkmarx в комментарии Wired рассказал о вредоносном потенциале бреши: Мы можем в точности симулировать то, что пользователь видит на своем экране. Это как будто ты знаешь все: что они делают, какие у них сексуальные предпочтения, огромное количество информации.

Чтобы продемонстрировать работу обнаруженной уязвимости, специалисты Checkmarx собрали демо-приложение TinderDrift. Оно способно дублировать пользовательские сессии во время подключения по одной сети Wi-Fi. Очевидно, что если обнаруженный эксплоит воспроизведут злоумышленники, это откроет возможность для шантажа. В безопасности находятся только сообщения и фотографии, отправленные пользователями после «матча».

В ответ на запрос издания The Verge представители Tinder ответили, что без защиты находятся только фотографии профиля, но в приложении они и так предоставлены в свободном доступе. Тем не менее, веб-версия сервиса уже шифрует эти снимки, а разработчики планируют внедрить эту функцию и в мобильных клиентах. Остальные подробности об улучшении безопасности неизвестны. По словам Checkmarx, они сообщили в Tinder о бреши еще в ноябре, но она по-прежнему не исправлена.

 

Ключевые слова
Рассылка dv.ee
Хотите получать свежие экономические новости на свой e-mail? Подпишитесь на рассылку dv.ee!

Спасибо, что присоединились к рассылке новостей dv.ee!

Мы отправили вам на е-mail письмо, подтверждающее вашу подписку.

Если письма нет, то проверьте, правильно ли ввели все данные. Вопросы по адресу liis.rush@aripaev.ee.

Новости
Руководитель отдела налогового аудита Налогово-таможенного департамента Эрье Меттас
18:00 26 апреля 2018
Специальное топливо покупают на имена погибших людей Руководитель отдела налогового аудита Налогово-таможенного департамента Эрье Меттас утверждает, что одной из разрастающихся проблем становится массовое злоупотребление топливом специального...
Фото ДВ
Все о строительстве частных домов 2018

Герметичность - показатель качества утепления и строительных работ

Всё о бизнес-недвижимости

Научный парк Tehnopol – дом для "умных" технологических предприятий

Как эффективно управлять бюджетом?

Как начинающие предприниматели могут сэкономить время и деньги на бухгалтерских расходах?

Газета в формате PDF
Юридическая информация
Юбиляры
ТОПы Äripäev
Mероприятия
Полезные предложения