人気のTheTinderデートアプリは2つの深刻な脆弱性で識別されています. セキュリティの専門家は、ユーザーのスワイプやマッチを見知らぬ人にさらす可能性のある危険なTheTinderのバグを特定しました. 提供された情報によると、欠陥は昨年11月に特定されました, 問題はまだ解決されていません.
危険なTheTinderバグはユーザーデータを公開します
人気の 火口 出会い系アプリには、かなり長い間解決されていない危険な脆弱性が含まれていることが判明しています. セキュリティ研究者は、犯罪者のユーザーが同じワイヤレスネットワークに接続しているユーザーからの個人データを公開することを可能にする危険なTinderのバグを報告しました. 専門家は、脆弱性レポートが11月に非公開でサービスに送信されたが、それ以降、修正は公開されていないと述べています。. より正確に言えば、実際のTheTinderのバグは 2つの別々の欠陥.
The 最初の1つ アプリケーションの実行中に行われる暗号化プロセスに関連付けられています. Tinderユーザーがサービスと対話するたびに、アクションがサーバーに送信され、結果がデバイスに転送されます (携帯電話またはタブレット) 安全な方法で. このプロセスの欠陥により、犯罪者は自分が見ている写真に関する情報を入手することができます。, ほとんどの場合、彼らが見たりチャットしたりしているユーザーのもの.
The 2番目のTheTinderバグ ネットワークリークを通じて特定のアクションの動作パターンを実際に公開します. これは、アプリの信号がハッカーによって傍受されて読み取られる可能性があることを意味します. 自動化されたスクリプトまたは手動分析を使用して、すべてのタイプのユーザーインタラクションを検出できます—スワイプ, メッセージングおよびその他の活動.
TheTinderバグのハッカー虐待
見つかった欠陥を悪用することにより、犯罪者はTinderユーザープロファイルの制御を引き継ぐことができます, 特に彼らのプロフィール写真. 専門家によって提案された2つの主要な攻撃シナリオがあります. 最初の画像は、プロフィール画像を不適切な画像に変更する可能性があり、サービスの利用規約に違反し、見つかった一致を怖がらせる可能性があります. もう1つの結果は、不正な製品やサービスを宣伝するための広告画像に変更することです。.
Tinderのバグが見つかった理由は、サービスがHTTPS暗号化プロトコルを完全に実装していないためです。. ユーザーの一致のスワイプは、安全でないHTTP接続を介して行われることが判明しました. これは、一般的なトラフィック傍受シナリオがTinderプロファイルを追い越すときに非常に役立つ可能性があることを意味します. ハッカーがサービスを悪用するために使用できる3つの異なるアプローチがあります:
- マルウェア感染 —デバイスユーザーがトロイの木馬コードを含むウイルスに感染している場合. ユーザーの行動を積極的にスパイし、ネットワーク活動をハッカーオペレーターに中継することができます.
- 中間者攻撃 —侵害されたネットワークゲートウェイやその他の機器を使用して、攻撃者は接続されたデバイスからネットワークトラフィックを取得できます.
- トラフィックスニッフィング —研究者は、ターゲットプロファイルを操作する最も簡単な方法の1つは、ターゲットをパブリックWi-Fiネットワークに接続することであると述べています。. HTTPS暗号化は完全にはサポートされていないため、ハッカーはreturnコマンドを直接操作できます. これは非常に使いやすいアプローチであり、図書館などの場所に適しています, 多くのTheTinderユーザーを見つけることができるカフェや空港.
Tinderのバグがパッチされていないことを示すために、リアルタイムの概念実証アプリケーションが研究者によって作成されました. ユーザーは重要なセキュリティパッチを期待し、利用可能になり次第インストールする必要があります. その間、彼らは公共のWi-Fiネットワークを回避することで身を守ることができます.