В Tinder нашли уязвимость. Хакеры могут узнать о ваших фото, лайках и парах

Исследователи из тель-авивской компании Checkmarx обнаружили, что дейтинг-приложение Tinder имеет серьезные проблемы с безопасностью. Несмотря на то что большинство передаваемых между пользователем и облачными серверами данных проходят по защищенному протоколу HTTPS, разработчики не потрудились ввести его поддержку для фотографий профиля. Любой пользователь одной и той же сети Wi-Fi может посмотреть чужие снимки из Tinder или даже добавлять свои в посторонние аккаунты, пишут AIN.UA.

Свайпы и лайки, в свою очередь, хотя и передаются в защищенном виде, генерируют запросы с четко определенным объемом в байтах. Например, однажды установив, что смахивание влево это 278 байт, вправо — 370 байт, а совпадение равняется 570 байтам, можно следить за активностью другого юзера.

Эрец Ялон из Checkmarx в комментарии Wired рассказал о вредоносном потенциале бреши:

Мы можем в точности симулировать то, что пользователь видит на своем экране. Это как будто ты знаешь все: что они делают, какие у них сексуальные предпочтения, огромное количество информации.

Чтобы продемонстрировать работу обнаруженной уязвимости, специалисты Checkmarx собрали демо-приложение TinderDrift. Оно способно дублировать пользовательские сессии во время подключения по одной сети Wi-Fi. Очевидно, что если обнаруженный эксплоит воспроизведут злоумышленники, это откроет возможность для шантажа. В безопасности находятся только сообщения и фотографии, отправленные пользователями после «матча».

В ответ на запрос издания The Verge представители Tinder ответили, что без защиты находятся только фотографии профиля, но в приложении они и так предоставлены в свободном доступе. Тем не менее, веб-версия сервиса уже шифрует эти снимки, а разработчики планируют внедрить эту функцию и в мобильных клиентах. Остальные подробности об улучшении безопасности неизвестны. По словам Checkmarx, они сообщили в Tinder о бреши еще в ноябре, но она по-прежнему не исправлена.

Ранее на AIN.UA выходил материал о том, как Intel 7 месяцев хранила в секрете сведения про уязвимости Meltdown и Spectre.


Михаил Сапитон, AIN





Интересные новости
Дети обмениваются порно-фото и выкладывают их в Сеть, а взрослые не понимают Интернет-слэнг
Марк Цукерберг раскритиковал "Социальную сеть"
Американских игроков начали сажать
1го апреля один из сайтов дошутился: на него подают в суд
Масоны онлайн
Блок рекламы


Похожие новости
Росіяни намагаються шпигувати і у Tinder - Die WeltРосіяни намагаються шпигувати і у Tinder - Die Welt
Meta може дозволити публікувати у Facebook та Instagram фото з жіночими соскамиMeta може дозволити публікувати у Facebook та Instagram фото з жіночими сосками
Хакеры, выдающие себя за Меркель, пытались шпионить за ЛагардХакеры, выдающие себя за Меркель, пытались шпионить за Лагард
Хакеры взломали сайт «верховного суда ДНР»Хакеры взломали сайт «верховного суда ДНР»
РоSSийские хакеры пытаются атаковать украинские медиаРоSSийские хакеры пытаются атаковать украинские медиа
Хакеры взломали роSSийское радио «Коммерсантъ ФМ» и пустили в эфир украинские песниХакеры взломали роSSийское радио «Коммерсантъ ФМ» и пустили в эфир украинские песни
Хакеры атакую госорганы Украины, используя тему зарплатХакеры атакую госорганы Украины, используя тему зарплат
Фотобанк Pixabay перестал работать в РоSSииФотобанк Pixabay перестал работать в РоSSии
Хакеры Anonymous сообщили об атаке на правительственные сайты БеларусиХакеры Anonymous сообщили об атаке на правительственные сайты Беларуси
Украинские хакеры сломали роSSийский видеохостинг RutubeУкраинские хакеры сломали роSSийский видеохостинг Rutube
Последние новости
Подгружаем последние новости