16

Brunetki, blondynki? Przez lukę w Tinderze każdy może poznać Twoje sekrety

Lubicie sobie czasem poprzesuwać w prawo lub w lewo zdjęcia na Tinderze? W takim razie uważajcie - znaleziono właśnie lukę, która nie tylko pokazuje Waszą aktywność w serwisie, ale również pozwala na kradzież danych.

Czym jest Tinder?

Jedna z najpopularniejszych aplikacji ostatnich lat mogła w ogóle nie trafić na Wasze smartfony – a nawet jeśli trafiła, to i tak pewnie się do tego nie przyznacie. Tinder to mobilny portal randkowy wykorzystujący technologię lokalizacji. Przy pomocy aplikacji na iOS lub Androida wyszukiwane są osoby przeciwnej płci (lub tej samej – jeśli wolicie) znajdujące się w okolicy. Użytkownik sam określa kryteria wyszukiwania, takie jak odległość czy wiek można więc powiedzieć, że program dobiera nam osoby potencjalnie zainteresowane znajomością. Aplikacja wyświetla profile tych osób – jest krótki opis, imię, wiek oraz zdjęcia. Od użytkownika zależy, czy wyrazi chęć nawiązania znajomości – mechanizm jest prosty. Przesuwając palcem w prawo dajemy znać, że dana osoba wpadła nam w oko, w lewo odrzucamy potencjalną znajomość. Po drugiej stronie dzieje się to samo – jeśli osoba, którą “przesunęliśmy w prawo” zrobi to samo – zostanie zawiązana para, dzięki czemu będziecie mogli porozmawiać za pomocą wewnętrznych wiadomości. Tinder sprytnie monetyzuje swoją popularność umożliwiając zakup konta premium, które pozwala przejrzeć i polubić więcej profili (na darmowym koncie limit się wyczerpuje i odnawia dopiero po jakimś czasie). W niektórych krajach pojawiają się również reklamy wszelkiej maści produktów, ot tak – pojawiają się jak zwykłe profile.

Do czego służy Tinder?

Oczywiście do poznawania nowych osób, choć media lubowały się w określaniu Tindera jako aplikacji pomagającej znaleźć przygodny seks. Słusznie? Pewnie po części tak, wszystko zależy od tego z jakim zamysłem appka była instalowana i używana. Sam znam pary, które poznały się na Tinderze i wykorzystały usługę jako jeden ze sposobów na zawiązanie znajomości – tak samo dobry i skuteczny jak dyskoteka, koncert, wyjście do pubu czy kółko miłośników modelarstwa.

Używacie Tindera? W takim razie uważajcie

Zajmująca się cyfrowym bezpieczeństwem firma Checkmarx ujawniła informacje dotyczące dwóch luk w aplikacji Tinder – niestety dotyczą ona zarówno wersji na iOS, jak i Androida. Umożliwiają osobom podłączonym do tej samej sieci monitorowanie aktywności użytkownika Tindera. Co więcej, dziura pozwala również podmieniać zdjęcia na szkodliwe treści.

I choć luki nie pozwalają przejąć kontroli nad smartfonem czy wykraść na przykład danych podpiętej karty kredytowej, to jednak możliwe jest pozyskanie przez atakującego informacji osobistych. Wszystko przez brak protokołu szyfrowania HTTPS na zdjęciach umieszczanych na platformie.

Badająca sprawę firma Checkmarx stworzyła nawet specjalne narzędzie o nazwie TinderDrift. Kiedy appka połączyła się z tą samą siecią, której używa posiadacz Tindera, udało się przejąć obrazy wysyłane bez protokołu HTTPS. Co więcej, za pomocą TinderDrift atakujący jest w stanie przechwycić informacje dotyczące działań w aplikacji – dowie się więc na przykład tego, jak często użytkownik Tindera przesuwa profile w prawo, a jak często w lewo. Pierwsze z działań to bowiem 341 bitów, drugie 278.

Możemy w ten sposób zasymulować, co użytkownik widzi na ekranie swojego smartfona. Wiesz wtedy wszystko: co użytkownik Tindera robi, jakie są jego preferencje seksualne, to masa informacji.

– zdradził Erez Yalon z Checkmarx.

Co na to Tinder?

Firma odpowiedzialna za aplikację randkową zabrała oczywiście głos, wygląda to jednak trochę tak jakby bagatelizowała problem. Potwierdzono niestety, że zdjęcia nie wykorzystują protokołu HTTPS, ale zostanie to niedługo naprawione.

Traktujemy bezpieczeństwo i prywatność naszych użytkowników bardzo poważnie. Posiadamy sieć narzędzi i systemów chroniących integralność naszej platformy. Trzeba tu zaznaczyć, że Tinder jest darmową, globalną platformą i obrazy, które wykorzystujemy jako zdjęcia profilowe dostępne są dla każdego, kto przegląda zawartość aplikacji. Tak, jak każda inna firma technologiczna, dokładamy wszelkich starań by ulepszać nasze mechanizmy obrony przed hakerami. Dla przykładu – nasza desktopowa i mobilna platforma już szyfruje zdjęcia profilowe i pracujemy nad tym, by takie szyfrowanie pojawiło się przy wszystkich dostępnych w aplikacji fotografiach. W obawie przed hakerami nie możemy jednak udzielić dodatkowych informacji dotyczących szczegółów naszych narzędzi bezpieczeństwa.

Zero odniesienia się do możliwości pozyskania informacji z aplikacji – jakby na to nie patrzeć, dla wielu osób dość intymnych. Oczywiście nie jest to pierwszy tego typu alarm dotyczący Tindera i nie pierwsza sytuacja, w której dość wrażliwe dane mogą się wydostać, wystarczy przypomnieć wyciek danych na platformie Ashley Madison. Tamta historia pewnie skończyła się wieloma rozwodami – ale trudno było oczekiwać innych scenariuszy, skoro Ashley Madison pozycjonowała się jako usługa do sekretnych spotkań osób pozostających w związkach małżeńskich.

źródło