События

Хакеры могут шпионить за пользователями через приложение Tinder

Исследователи безопасности из компании Checkmarx обнаружили в приложении Tinder для iOS и Android опасные уязвимости, позволяющие злоумышленникам отслеживать активность пользователей и манипулировать контентом.

По словам исследователей, атакующие, подключенные к той же сети Wi-Fi, что и жертва, могут просматривать профиль пользователя, видеть отображаемые на его экране изображения и определять действия, совершенные пользователем в приложении.

Одна из уязвимостей заключается в том, что в настоящее время версии Tinder для iOS и Android загружают изображения профиля через небезопасные HTTP-соединения.

«Атакующие могут легко обнаружить, какое устройство какие профили просматривает. Помимо этого, если пользователь остается в сети достаточно долго или если приложение инициализируется в уязвимой сети, злоумышленник может идентифицировать и исследовать профиль пользователя», - пояснили специалисты.

Как отметили эксперты, уязвимость также может позволить атакующему перехватить и изменить трафик. «Злоумышленник может заменить изображения профилей, которые видит жертва, разместить нежелательную рекламу и внедрить вредоносное содержимое», - добавили они.

Помимо использования небезопасного HTTP соединения, исследователи также обнаружили проблему с использованием HTTPS в приложении. Эксперты назвали данную уязвимость «Предсказуемым размером ответа HTTPS» (Predictable HTTPS Response Size).

«Тщательно проанализировав трафик, поступающий от клиента на сервер API, и сопоставив его с HTTP-трафиком, злоумышленник может определить не только изображение, которое пользователь видит в Tinder, но и действие, которое он совершил. Это делается путем проверки размера полезной нагрузки в зашифрованном ответе сервера API», - пояснили исследователи.

Например, когда пользователь проводит пальцем влево, указывая на отсутствие интереса к профилю, сервер API отправляет зашифрованный ответ размером в 278 байт. Если пользователю понравился определенный профиль и он провел пальцем вправо, сервер генерирует ответ размером в 374 байта.

Исследователи уведомили Tinder о проблемах. В настоящее время неясно, эксплуатировались ли данные уязвимости злоумышленниками.

Источник

Автор: Сергей Куприянов
24.01.2018 (09:39)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2019

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.