Лазейки в приложении Tinder позволяют следить за пользователями

Лазейки в безопасности мобильного приложения Tinder позволяют следить за пользователями. Проблема существует из-за того, что сборки приложения для Android и iOS не могут правильно шифровать сетевой трафик.

Исследователи Checkmarx, обнаружившие два недостатка (CVE-2018-6017, CVE-2018-6018), опубликовали доказательство концепции, согласно которому, находясь в одной сети Wi-Fi с пользователем, можно наблюдать за его действиями, включая просмотры профилей, подсказки и лайки.

Эксперты выложили видео, демонстрирующее наличие проблемы:

Поскольку Tinder, по своей природе, используется в местах массового скопления людей, например, бары и кафе с бесплатным общественным Wi-Fi, эти уязвимости могут быть опасны для большинства пользователей.

Первая проблема, CVE-2018-6017, является результатом использования приложением Tinder небезопасных HTTP-соединений для доступа к изображениям профиля. Отслеживая трафик в общедоступной сети Wi-Fi, злоумышленник может видеть, какие профили просматриваются на устройстве жертвы. Также есть возможность получить информацию профиля жертвы.

Второй недостаток, CVE-2018-6018, позволяет киберпреступнику видеть конкретные действия жертвы, такие как свайпы и лайки. Несмотря на то, что Tinder API использует HTTPS-соединение, определенные действия отдают свои зашифрованные пакеты с установленной длиной.

Проверяя пакеты определенной длины, злоумышленник может связать действия с незащищенным HTTP-профилем. Рекомендация для пользователей достаточно проста: избегайте общественных сетей Wi-Fi, если это возможно. Что касается разработчиков, они должны предпринять шаги для обеспечения безопасности всего трафика приложений.