Amikor a hackerek nézegetik a Tinderedet! Avagy tudom, kit húztál jobbra tavaly nyáron!
Spectre és Meltdown terhelte világunkban már szinte fel sem kapjuk a fejünket az újabb kritikus hibákra, kihasználható sebezhetőségekre. Pedig nagyon nem akarnak elapadni az ezekről szóló beszámolók, most éppen a Tinder háza táján történtek aggodalomra okot adó dolgok, ha mobilon használjuk a randiappot.
Mit is ígér nekünk a Tinder? “Az emberek, akikkel találkozunk, megváltoztatják az életünket. Egy barát, egy randi, egy kis romantika vagy akár egy véletlen találkozás örökre megváltoztathatja valakinek az életét. A Tinder képessé teszi a világ különböző táján élő felhasználóit arra, hogy olyan új kapcsolatokat hozhassanak létre, amelyek egyébként másként soha nem lennének lehetségesek. Egy olyan terméket fejlesztettünk, amelyik összehozza az embereket.”
Nos az összehozást árnyalja kissé az a felfedezés, miszerint a közös wifin keresztül illetéktelenek is láthatják a tinderes akcióinkat, kedveléseinket. Kicsit hasonlóan kell elképzelni, mint annak idején a FireSheep böngészőkiegészítő esetében. A Tel Avivi Checkmarx cég jelentése szerint a Tinder iOS és Androidos alkalmazásában sajnálatos módon egyelőre nem szerepel az alapvető HTTPS titkosítás, így a mobilokra titkosítatlan adatkapcsolaton keresztül kerülnek kiküldésre a profilképek.
Bár a kedvelés és elutasítás titkosított kapcsolaton megy a vissza a szerverek felé, de a biztonsági kutatók ezeket könnyen vissza tudták fejteni a csomag hossza alapján, és ezeket is képesek voltak illetéktelenül kifigyelni.
Kutatásukról, és a problémát látványosan bemutató vizsgálatukról készítettek egy színes szélesvásznú 😉 videót is, amelyet a YouTube oldalán tekinthetünk meg. A mostani hiba kizárólag a mobilos alkalmazásokat érinti, tehát asztali gép böngészőjében zajló adatok forgalmát elvileg nem.
Egyébként a Mozilla aktuális webstatisztikája szerint nagyjából az internetes böngészők 70%-ban használják ki a HTTPS nyújtotta titkosított adatforgalom lehetőségét.
A Tinder nem kommentálta az esetet, bár a Verge cikkére először úgy reagált, hogy a profilképek egyébként is publikusan hozzáférhetőek minden felhasználójuk felé, nem nagy ügy.
Viszont arról, hogy mikorra várható a fenti mobilos alkalmazások biztonságát érintő gyengeségek kijavítása, nem voltak hajlandóak érdemben nyilatkozni, nem is árultak el részleteket ezzel kapcsolatosan.
“Tinder is a free global platform, so the pictures are available to anyone swiping on the app anyway. However, we do not go into any further detail on the specific security tools we use or enhancements we may implement to avoid tipping off would-be hackers.”
Nagyszerű hozzáállás, végül is ez igazán remekül működött már a korábbi Sony, Target, LinkedIn, Snapchat, WhatsApp, Equifax incidenseknél is ;-).
Nem tudni tehát, mikor lesz javított titkosítás, és vajon addig lesz-e ez annyira jelentős, mint az Ashley-Madison story, mindenesetre sokakat érinthet kellemetlenül.
Bár a közös wifi, vagy titkosítatlan hotspot korlátot szab ugyan az ilyenfajta támadásnak, de azért az így ellopott adatokkal, szexuális preferenciák ismeretével nagyon is lehetséges visszaélni, vagy akár ezeket célzott zsarolásra felhasználni. Az egyéb manipulációs lehetőségek sora is végtelen, kezdve a fotók észrevétlen kicserélésétől kezdve a kártékony reklámok beszúrásáig igen széles lehet a skála.
Forrás: http://antivirus.blog.hu