В Tinder нашли уязвимость. Хакеры могут узнать о ваших фото, лайках и парах

24 января 2018, 11:30

дейтинг-приложение Tinder дейтинг-приложение Tinder
Фото: verge

Исследователи из тель-авивской компании Checkmarx обнаружили, что дейтинг-приложение Tinder имеет серьезные проблемы с безопасностью.

Несмотря на то что большинство передаваемых между пользователем и облачными серверами данных проходят по защищенному протоколу HTTPS, разработчики не потрудились ввести его поддержку для фотографий профиля. Любой пользователь одной и той же сети Wi-Fi может посмотреть чужие снимки из Tinder или даже добавлять свои в посторонние аккаунты.

Свайпы и лайки, в свою очередь, хотя и передаются в защищенном виде, генерируют запросы с четко определенным объемом в байтах. Например, однажды установив, что смахивание влево это 278 байт, вправо — 370 байт, а совпадение равняется 570 байтам, можно следить за активностью другого юзера.

 

Эрец Ялон из Checkmarx в комментарии Wired рассказал о вредоносном потенциале бреши: Мы можем в точности симулировать то, что пользователь видит на своем экране. Это как будто ты знаешь все: что они делают, какие у них сексуальные предпочтения, огромное количество информации.

Чтобы продемонстрировать работу обнаруженной уязвимости, специалисты Checkmarx собрали демо-приложение TinderDrift. Оно способно дублировать пользовательские сессии во время подключения по одной сети Wi-Fi. Очевидно, что если обнаруженный эксплоит воспроизведут злоумышленники, это откроет возможность для шантажа. В безопасности находятся только сообщения и фотографии, отправленные пользователями после «матча».

В ответ на запрос издания The Verge представители Tinder ответили, что без защиты находятся только фотографии профиля, но в приложении они и так предоставлены в свободном доступе. Тем не менее, веб-версия сервиса уже шифрует эти снимки, а разработчики планируют внедрить эту функцию и в мобильных клиентах. Остальные подробности об улучшении безопасности неизвестны. По словам Checkmarx, они сообщили в Tinder о бреши еще в ноябре, но она по-прежнему не исправлена.

 

Ключевые слова
Рассылка dv.ee
Хотите получать свежие экономические новости на свой e-mail? Подпишитесь на рассылку dv.ee!

Спасибо, что присоединились к рассылке новостей dv.ee!

Мы отправили вам на е-mail письмо, подтверждающее вашу подписку.

Если письма нет, то проверьте, правильно ли ввели все данные. Вопросы по адресу liis.rush@aripaev.ee.

Новости
A woman takes a Kinder Ferrero chocolate in Milan November 20, 2009. Cadbury suitors Ferrero and Hershey would likely break the UK confectioner up into separate businesses if a mooted bid for the company succeeds, an Italian newspaper reported. Italian chocolate maker Ferrero and U.S.-based Hershey said on Wednesday they were reviewing a possible offer for Cadbury, which is the subject of a hostile 9.9 billion pound ($16.5 billion) bid by U.S. food group Kraft. Unlisted Ferrero is mainly interested in Cadbury's gum and candy division, a unit worth about 5 billion euros ($7.4 billion), business daily Il Sole 24 Ore said on Friday. REUTERS/Stefano Rellandini (ITALY BUSINESS FOOD)
16:57 20 сентября 2018
В Литве изъяли из торговли шоколад Kinder, пахнущий мылом

Жалобы касались того, что шоколад пахнет мылом, сообщает

Фото ДВ
Все о строительстве частных домов 2018

Что означает для дома хорошая вентиляционная система?

Всё о бизнес-недвижимости

Научный парк Tehnopol – дом для "умных" технологических предприятий

Как эффективно управлять бюджетом?

Как начинающие предприниматели могут сэкономить время и деньги на бухгалтерских расходах?

Газета в формате PDF
Юридическая информация
Юбиляры
Mероприятия
Полезные предложения