Tyrėjai nulaužė Tinder, OkCupid ir kitas pažinčių programėlės

Saugumo tyrėjai atskleidė gausybę klaidų populiariose pažinčių programėlėse, tokiose kaip Tinder, Bumble ar OkCupid. Naudodami tiek paprastus, tiek sudėtingus įrankius, Kaspersky Lab tyrėjai teigia, kad jie galėjo išsiaiškinti vartotojų vietos duomenis, tikrus vardus ar prisijungimo informaciją, o taip pat susirašinėjimo istoriją ir net informaciją, kokių narių profilius jie peržiūrėjo. Tyrėjų teigimu, tai didina vartotojų pažeidžiamumą  šantažo ar persekiojimo atveju.

Tyrėjai ištyrė devynių pažinčių programėlių iOS ir Android versijas. Norėdami gauti slaptus duomenis jie pastebėjo, kad įsilaužėliams iš tikrųjų nereikėjo įsiskverbti į pažinčių programėlių serverius. Dauguma programėlių turėjo minimalų HTTPS kodavimą, o tai palengvino prieigą prie vartotojų duomenų.

Buvo ištirtos Tinder, Bumble, OkCupid, BadooMamba, Zoosk, Happn, WeChat ir Paktor iOS bei Android programėlių versijos.

Akivaizdu, kad nebuvo tirtos pažinčių programėlės homoseksualiems vyrams, tokios kaip Grindr ar Scruff, kuriose pateikiama ir tokia slapta informacija, kaip ŽIV statusas ar seksualiniai pomėgiai.

Paprasčiausias pirmas pažeidimas buvo tai, kad vartotojai patys atskleidžia daug informacijos apie save. Didžiausia pažeidimo galimybė fiksuota Tinder, happn ir Bumble. 60 proc. tikslumu tyrėjai galėjo pasinaudoti įvardinti darbo ar išsilavinimo informacija ir sulyginti tai su kituose socialiniuose tinkluose esančiais profiliais. Nepaisant to, kiek privatumo suteikia programėlė, bendrauti su vartotojais pavyksta per kitus mažiau saugius socialinius tinklus, o tai suteikia galimybę sukurti netikrą profilį vien tam, kad siųsti žinutes vartotojams iš kitų tinklų.

Vėliau tyrėjai atrado keletą programėlių, kuriose buvo galima išnaudoti vietovės nustatymo klaidas. Įprasta, kad pažinčių programėlės nurodo buvimo vietą remiantis atstumu nuo to vartotojo, tačiau programėlės neturėtų rodyti tikrosios jo buvimo vietos. Tyrėjai programėlėms pateikė neteisingus vietovės duomenis ir taip nustatė vartotojų buvimo vietą pagal besikeičiantį atstumą. Tyrėjų teigimu, Tinder, Mamba, Zoosk, Happn, WeChat ir Paktor yra pažeidžiamos.

Sudėtingiausias pažeidžiamumas buvo stulbinantys. Tinder, Paktor ir Bumble Android versijos bei Badoo iOS versija siuntė nuotraukas nešifruotu HTTP, o tai suteikė galimybę tyrėjams tai išnaudoti ir pamatyti kokius profilius vartotojai peržiūrėjo ir kokias nuotraukas jie spaudė. Panašiai ir Mamba iOS versija prisijungdavo prie serverio nekoduotu HTTP protokolu, o tai tyrėjams suteikė galimybę gauti vartotojo informaciją, įskaitant prisijungimo duomenis, o tai leido prisijungti prie programėlės ir siųsti žinutes.

Plačiau apie tai galite perskaityti Secure List straipsnyje.

Parašykite komentarą

This site uses Akismet to reduce spam. Learn how your comment data is processed.