| 25 октября 2017 г. — 6:11 утра по тихоокеанскому времени
Специалисты по безопасности из Kaspersky Lab сообщают, что ряд популярных приложений для знакомств уязвим для трех типов атак, которые могут раскрыть различную информацию, начиная от местоположения пользователя и заканчивая полной идентификацией и данными о работодателе…
Первый протестированный подход заключался в том, чтобы проверить, можно ли сопоставить данные, которыми пользователи решили поделиться в приложении, с данными из социальных сетей для идентификации личности. Самой опасной информацией, по их мнению, является ваша работа и образование.
В Tinder, Happn и Bumble пользователи могут добавлять информацию о своей работе и образовании. Используя эту информацию, нам удалось в 60% случаев идентифицировать страницы пользователей в различных социальных сетях, включая Facebook и LinkedIn, а также их полные имена.
Второе — отслеживание местоположения. Любое приложение, которое показывает расстояние между злоумышленником и участником сайта знакомств, может быть использовано для определения их местоположения путем триангуляции.
Теоретически, это было бы сложно сделать, поскольку вам пришлось бы много перемещаться, пока ваш объект находился бы в одном месте, а расплывчатые расстояния, используемые некоторыми сервисами, означали бы, что потребуется гораздо больше измерений. Но Kaspersky нашел простой способ обойти это.
Сами сервисы упрощают задачу: злоумышленник может оставаться на одном месте, подставляя фальшивые координаты в сервис, каждый раз получая данные о расстоянии до владельца профиля.
Наконец, они обнаружили, что ряд сервисов не шифрует все коммуникации. Использование этого факта потребовало бы атаки «человек посередине» — когда злоумышленники создают поддельную версию общедоступной точки доступа Wi-Fi, а затем ищут трафик — но это не совсем редкость.
Например, Badoo не использует HTTPS для фотографий. Изучая просматриваемые фотографии, можно было бы определить, какие профили просматриваются. Mamba была еще хуже, вообще не используя HTTPS, что позволяло перехватывать все данные, включая учетные данные для входа.
Реальные риски от этих слабостей кажутся относительно низкими, но на некоторые из них стоит обратить внимание. Если вы хотите, чтобы ваш профиль в приложении для знакомств оставался анонимным, вам, вероятно, следует быть достаточно сдержанным в отношении своих достижений в работе и образовании.
Точно так же никогда не следует входить в какие-либо конфиденциальные сервисы — будь то сайт знакомств или онлайн-банкинг — через общедоступную точку доступа Wi-Fi, если вы на 100% не уверены, что это реальная сеть. Отключение Wi-Fi и подключение через мобильные данные — более безопасный подход.
По материалам Gizmodo
Посетите 9to5Mac на YouTube для получения дополнительных новостей об Apple: