Den populære Tinder dating app er blevet identificeret med to alvorlige sårbarheder. Sikkerhedseksperter identificeret en farlig Tinder fejl, der kan afsløre de aflæser og tændstikker af brugere til fremmede. Ifølge de angivne information fejlen er blevet identificeret i november sidste år, problemet er stadig ikke løst.
Den farlige Tinder Bug eksponerer Brugere data
den populære tinder dating app har vist sig at indeholde en farlig sårbarhed, der er forblevet uløst i temmelig lang tid. Sikkerhed forskere rapporteret en farlig Tinder bug, der gør det muligt for kriminelle brugere at eksponere private data fra brugere tilsluttet til det samme trådløse netværk. Ekspertgruppen bemærker, at sårbarheden rapporten blev sendt til tjenesten i november i en privat videregivelse dog siden da ingen rettelse er blevet frigivet til offentligheden. For at være mere præcis den faktiske Tinder bug består af to separate fejl.
Den første er forbundet med kryptering proces, der tager steder under udførelsen ansøgning. Hver gang en Tinder bruger interagerer med den service deres handlinger sendes til serverne, og resultaterne er derefter sendt til deres enheder (telefoner eller tablets) på en sikker måde. En fejl i denne proces gør det muligt for kriminelle at få oplysninger om de billeder, de ser, i de fleste tilfælde de af brugeren, at de ser eller chatter med.
Den sekund Tinder bug faktisk udsætter de adfærdsmønstre for visse aktioner gennem netværk lækage. Det betyder, at app signaler kan opfanges og læses af hackere. Ved hjælp af automatiserede scripts eller manuel analyse, de kan registrere brugernes interaktioner af alle typer - aflæse, messaging og andre aktiviteter.
Hacker Misbrug af The Tinder Bug
Ved at misbruge de fundne fejl de kriminelle kan overtage kontrollen med fyrsvamp brugerprofiler, specielt deres profil billeder. Der er to primære angreb scenarier, der er foreslået af eksperterne. Den første kan ændre profilbillede til et ikke-egnet en, der overtræder tjenestens vilkår for anvendelse og også kan skræmme væk de fundne kampe. Den anden konsekvens ville være at ændre det til en reklame billede for fremme af slyngelstater produkter eller tjenester.
Grunden til, at Tinder fejl er blevet fundet, er, at tjenesten ikke fuldt ud har implementeret HTTPS krypteringsprotokol. Det viser sig, at aflæse af brugernes kampe sker gennem en usikker HTTP-forbindelse. Det betyder, at de fælles trafik aflytning scenarier kan være meget nyttigt, når overhaling Tinder profiler. Der er tre forskellige tilgange, hackere kan bruge til at misbruge tjenesten:
- Malware infektion - Når enheden brugere er inficeret med virus, der indeholder Trojan kode. Det kan aktivt spionere på brugernes handlinger og viderebringe netværksaktivitet til hacker operatører.
- Man-in-the-middle-angreb - Ved hjælp af kompromitterede netværk gateways og andet udstyr angriberne kan hente den netværkstrafik fra de tilsluttede enheder.
- Trafik sniffing - Forskerne bemærker, at en af de nemmeste måder at manipulere målet profilerne er at have målene forbindelse til et offentligt Wi-Fi-netværk. Som HTTPS kryptering ikke er fuldt understøttet hackere kan direkte manipulere tilbagevenden kommandoer. Dette er en meget nem at bruge tilgang og egnet til steder som biblioteker, cafeer og lufthavne, hvor der kan findes en masse Tinder brugere.
En real-time proof-of-concept-applikationer er blevet skabt af forskerne til at påvise, at Tinder bug er forblevet unpatched. Brugerne bør forvente en kritisk sikkerhedsrettelse og installere den, så snart den er tilgængelig. I mellemtiden kan de beskytte sig selv ved at undgå offentlige Wi-Fi-netværk.
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig: