Источник: ain.ua
Исследователи из тель-авивской компании Checkmarx обнаружили, что дейтинг-приложение Tinder имеет серьезные проблемы с безопасностью.
Несмотря на то что большинство передаваемых между пользователем и облачными серверами данных проходят по защищенному протоколу HTTPS, разработчики не потрудились ввести его поддержку для фотографий профиля.
Любой пользователь одной и той же сети Wi-Fi может посмотреть чужие снимки из Tinder или даже добавлять свои в посторонние аккаунты.
Свайпы и лайки, в свою очередь, хотя и передаются в защищенном виде, генерируют запросы с четко определенным объемом в байтах.
Например, однажды установив, что смахивание влево это 278 байт, вправо — 370 байт, а совпадение равняется 570 байтам, можно следить за активностью другого юзера.
Эрец Ялон из Checkmarx в комментарии Wired рассказал о вредоносном потенциале бреши:
«Мы можем в точности симулировать то, что пользователь видит на своем экране. Это как будто ты знаешь все: что они делают, какие у них сексуальные предпочтения, огромное количество информации».
Чтобы продемонстрировать работу обнаруженной уязвимости, специалисты Checkmarx собрали демо-приложение TinderDrift.
Оно способно дублировать пользовательские сессии во время подключения по одной сети Wi-Fi.
Очевидно, что если обнаруженный эксплоит воспроизведут злоумышленники, это откроет возможность для шантажа. В безопасности находятся только сообщения и фотографии, отправленные пользователями после «матча».
В ответ на запрос издания The Verge представители Tinder ответили, что без защиты находятся только фотографии профиля, но в приложении они и так предоставлены в свободном доступе.
Тем не менее, веб-версия сервиса уже шифрует эти снимки, а разработчики планируют внедрить эту функцию и в мобильных клиентах.
Остальные подробности об улучшении безопасности неизвестны. По словам Checkmarx, они сообщили в Tinder о бреши еще в ноябре, но она по-прежнему не исправлена.
Самые актуальные новости - в 
