La popular aplicación de citas Yesca se ha identificado con dos vulnerabilidades graves. Los expertos en seguridad identificaron un error Yesca peligrosa que puede exponer a los golpes y los partidos de los usuarios a los extraños. De acuerdo con la información proporcionada la falla ha sido identificado en noviembre del año pasado, el problema no ha sido resuelto todavía.
El escarabajo de Yesca peligroso expone los usuarios de datos
Popular Tinder aplicación de citas se ha encontrado que contienen una vulnerabilidad peligrosa que ha quedado sin resolver desde hace bastante tiempo. Los investigadores de seguridad informaron de un error Yesca peligrosa que permite a los usuarios criminales para exponer los datos privados de los usuarios conectados a la misma red inalámbrica. Los expertos señalan que el informe de vulnerabilidad que se envía al servicio en noviembre en una comunicación privada, sin embargo, desde entonces hay una solución ha sido liberado al público. Para ser más preciso el fallo real Yesca consiste en dos defectos separadas.
El el primero se asocia con el proceso de cifrado que tiene lugar durante la ejecución de la aplicación. Cada vez que un usuario Yesca interactúa con el servicio de sus acciones son enviados a los servidores y los resultados se remiten a sus dispositivos (móviles o tabletas) de una manera segura. Una falla en este proceso permite a los criminales para obtener información sobre las fotos que están viendo, en la mayoría de los casos los del usuario que están viendo o chat con.
El segundo fallo Yesca En realidad expone los patrones de comportamiento de ciertas acciones a través de la red de fuga. Esto significa que las señales de la aplicación pueden ser interceptados y leídos por los piratas informáticos. El uso de secuencias de comandos automatizadas o análisis manual que pueden detectar las interacciones de los usuarios de todo tipo - deslizar, mensajería y otras actividades.
Abuso del pirata informático del error Yesca
Abusando de los defectos que se encuentran los delincuentes pueden tomar el control de los perfiles de los usuarios Tinder, específicamente sus fotos de perfil. Hay dos principales escenarios de ataque que son propuestas por los expertos. La primera de ellas puede alterar la imagen de perfil de una no adecuada que infringe las condiciones del servicio de uso y también puede ahuyentar a las coincidencias encontradas. La otra consecuencia sería cambiar a una imagen publicitaria para la promoción de productos o servicios sin escrúpulos.
La razón por la cual el insecto Yesca se ha encontrado es que el servicio no se ha aplicado plenamente el protocolo de encriptación HTTPS. Resulta que el deslizar de los partidos de usuario pasa a través de una conexión HTTP inseguro. Esto significa que los escenarios comunes de intercepción de tráfico pueden ser muy útiles en los adelantamientos perfiles Tinder. Hay tres enfoques distintos que los hackers pueden utilizar para abusar del servicio:
- La infección de malware - Cuando los usuarios de dispositivos están infectadas con el virus que contienen código de Troya. Se puede espiar activamente en las acciones de los usuarios y transmitir la actividad de la red a los operadores de hackers.
- Man-in-the-middle - El uso de pasarelas de red y otros equipos comprometidos los atacantes puede recuperar el tráfico de red de los dispositivos conectados.
- oler el tráfico - Los investigadores han señalado que una de las maneras más fáciles de manipular los perfiles de destino es tener los objetivos de conectarse a una red Wi-Fi públicas. Como el cifrado HTTPS no es totalmente compatible los hackers pueden manipular directamente los comandos de retorno. Este es un muy fácil utilizar el enfoque y adecuado para lugares como bibliotecas, cafeterías y aeropuertos, donde una gran cantidad de usuarios Tinder se puede encontrar.
A tiempo real las aplicaciones de prueba de concepto ha sido creado por los investigadores para demostrar que el error Yesca se ha mantenido sin parches. Los usuarios deben esperar un parche de seguridad crítico e instalarlo tan pronto como esté disponible. Por el momento en que pueden protegerse evitando las redes Wi-Fi públicas.
Martin Beltov
Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.
Sígueme: