Исследователи безопасности из «Лаборатории Касперского» заявляют, что ряд популярных приложений для знакомств уязвимы для трех типов атак, потенциально раскрывающих всё: от местоположения пользователя до полной идентификации и данных о работодателе…
Первый протестированный подход заключался в проверке, можно ли сопоставить данные, которыми пользователи решили поделиться в приложении, с данными из социальных сетей для идентификации людей. Наиболее опасной информацией, как выяснили исследователи, является ваша работа и образование.
В Tinder, Happn и Bumble пользователи могут добавлять информацию о своей работе и образовании. Используя эту информацию, мы в 60% случаев смогли идентифицировать страницы пользователей в различных социальных сетях, включая Facebook и LinkedIn, а также их полные имена.
Второй — отслеживание местоположения. Любое приложение, которое показывает расстояние между злоумышленником и участником сайта знакомств, может быть использовано для триангуляции их местоположения.
Теоретически, это было бы сложно сделать, поскольку вам пришлось бы много двигаться, пока ваша цель оставалась бы на одном месте, а неточные расстояния, используемые некоторыми сервисами, означали бы, что потребуется гораздо больше измерений. Но «Лаборатория Касперского» нашла простой выход.
Сами сервисы упрощают задачу: злоумышленник может оставаться на одном месте, подставляя сервису фальшивые координаты, каждый раз получая данные о расстоянии до владельца профиля.
Наконец, они обнаружили, что ряд сервисов не шифрует все коммуникации. Использование этого факта потребовало бы атаки «человек посередине» – когда злоумышленники создают поддельную версию общедоступной точки доступа Wi-Fi, а затем анализируют трафик – но это не является чем-то совсем редким.
Например, Badoo не использует HTTPS для фотографий. Анализируя просмотренные фотографии, можно было бы определить, какие профили просматриваются. Mamba был еще хуже, не используя HTTPS вообще, что позволяло перехватывать все данные, включая учетные данные для входа.
Реальные риски от этих уязвимостей кажутся относительно низкими, но пара из них заслуживает внимания. Если вы хотите, чтобы ваш профиль в приложении для знакомств оставался анонимным, вам, вероятно, стоит быть достаточно сдержанным в отношении ваших профессиональных и образовательных достижений.
Аналогично, никогда не стоит входить в любые конфиденциальные сервисы – будь то сайт знакомств или онлайн-банкинг – через общедоступную точку доступа Wi-Fi, если вы не на 100% уверены, что это легитимная сеть. Отключение Wi-Fi и подключение через мобильные данные – более безопасный подход.
Источник: Gizmodo
Посмотрите 9to5Google на YouTube для получения дополнительных новостей: