Bárki megnézheti, kivel flörtöltünk Tinderen

nlc | 2018. Január 23.
Egy informatikai biztonsággal foglalkozó cég bemutatta, hogy a népszerű társkereső alkalmazás gyakorlatilag nem védi a felhasználók adatait.

A Tinder randiappot milliók használják naponta, és bár nincsenek pontos információk arról, hogy összesen hányan töltötték le – egy 2014-es becslés legalább 50 millió havi felhasználót említ –, szinte biztos, hogy az elmúlt években csak gyarapodott a tinderezők tábora.

A „balra húzás” a nemtetszés jele a Tinderen

Éppen ezért rendkívül aggasztó, hogy az izraeli Checkmarx IT-biztonsági cég nemrég nyilvánosságra hozta kutatási eredményeit, amelyek arra jutottak, hogy minimális informatikai ismeretekkel könnyedén „lehallgatható”, hogy a felhasználók kivel milyen kapcsolatba kerültek korábban.

A kőkemény IT-biztonsági részbe nem mennék bele mélyebben, de a lényeg annyi, hogy a Tinderen látható fotókat nem védi az úgynevezett biztonságos HTTPS-protokoll, amely a weboldalakat kiszolgáló szerverek és a felhasználók számítógépe között titkosítja a kommunikációt.

A gyakorlatban ez annyit jelent, hogy a Checkmarx kutatói képesek voltak rá, hogy megnézzék egy másik tinderező által nézegetett fotókat, sőt még egy általuk feltöltött képet is be tudtak juttatni a felhasználó applikációjába. Ehhez mindössze arra volt szükség, hogy a célpont és a támadó telefonja ugyanahhoz a wifihálózathoz csatlakozzon–- függetlenül attól, hogy Android vagy iOS operációs rendszer fut rajta. És bár a Tinder a felhasználók adatainál már használja a HTTPS-titkosítást, a Checkmarx szakemberei még így is képesek voltak megállapítani, hogy az alkalmazás milyen parancsokat fogadott a közelmúltban.

Ez pedig annyit tesz, hogy egy rosszindulatú támadó azt is meg tudja nézni, hogy kit húztunk balra, illetve jobbra az alkalmazásban, illetve hogy ki az, akivel létrejött a „match”, vagyis ahol közös szimpátia alakult ki két tinderező között. Az IT-biztonsági cég szerint az így megszerzett adatokkal pedig nem nehéz visszaélni.

„Mindent szimulálni tudunk, amit a célpont felhasználó a saját készüléke képernyőjén lát” – mondta a Wirednek nyilatkozva Erez Yalon, a Checkmarx alkalmazott biztonsági kutatásokért felelős vezetője. „Tudjuk, hogy mit csinálnak éppen, hogy mit csináltak korábban, hogy milyen a szexuális preferenciájuk és így tovább, rengeteg információt meg tudtunk így szerezni.”

A kutatók egy TinderDrift nevű szoftvert is létrehoztak, amellyel demonstrálni tudják a biztonsági rést. Ennek használatához pedig tényleg csak annyira van szükség, hogy egy wifihálózatra kapcsolt laptopon elindítsák, innentől begyűjti az ugyanarra a hálózatra csatlakoztatott okostelefonok Tinderrel kapcsolatos adatait. Ezt az alábbi videón a gyakorlatban is meg lehet tekinteni.

A biztonsági cég értesítette a hibáról a Tindert, amelynek szóvivője szűkszavúan csak annyit közölt, hogy dolgoznak a megoldáson, emellett felhívták rá a figyelmet, hogy a Tinder asztali számítógépekről elérhető változata esetében a HTTPS-védelem már teljes körű.

Exit mobile version