В наше время приложения для поиска партнёров стали неотъемлемой частью жизни. Люди, стремясь найти вторую половинку, готовы делиться самой личной информацией: своим именем, профессией, местом работы, любимыми местами и даже самыми сокровенными моментами. Эти приложения, созданные для знакомств и встреч, стали настоящими хранилищами персональных данных, включая фотографии, которые пользователи могут не предназначать для широкой публики.
Эксперты из «Лаборатории Касперского» провели тщательный анализ самых популярных приложений для знакомств, таких как Tinder, Bumble, OkCupid, Badoo, Mamba, Zoosk, Happn, WeChat и Paktor. Их целью было выявить основные угрозы, с которыми сталкиваются пользователи.
Результаты этого исследования были переданы разработчикам, что позволило многим из них оперативно устранить уязвимости в своих приложениях. Некоторые компании пообещали исправить выявленные проблемы в ближайшее время, что свидетельствует о их стремлении обеспечить безопасность пользователей.
Угроза № 1. Кто ты?
Исследователи обнаружили, что 4 из 9 приложений давали возможность потенциальным преступникам узнать, кто скрывается за псевдонимом. Для этого достаточно было воспользоваться данными, которые публикуют сами пользователи.
Например, программы Tinder, Happn и Bumble позволяют каждому человеку познакомиться с места работы или учебы, которые определил пользователь. Затем эту информацию можно было использовать, чтобы найти чей-то аккаунт в социальных сетях и узнать его настоящее имя и фамилию.
Особенно это относится к приложения Happn, которое использует учетные записи сети Facebook для обмена данными с сервером. Приложив немного усилий, каждый может узнать настоящие имя и фамилию пользователя приложения Happn и другую информацию из профиля на Facebook.
Если кто-то перехватит трафик с личного устройства, на котором установлено приложение Paktor, то сможет узнать адрес электронной почты других пользователей программы.
Оказалось, что можно идентифицировать пользователей приложения Happn и Paktor в других социальных сетях, с 60% шансом успеха для Tinder и 50% для приложения Bumble.
Угроза № 2. Где ты?
Из девяти популярных приложений знакомств шесть предоставляют информацию о местоположении пользователя. Только OkCupid, Bumble и Badoo обеспечивают защиту данных, связанных с местоположением. Остальные сервисы показывают расстояние между вами и интересующим вас человеком. Анализируя эти данные, можно вычислить точное местоположение другого пользователя.
Приложение Happn не только демонстрирует количество метров, разделяющих вас, но и учитывает количество пересечений ваших маршрутов. Это делает процесс отслеживания ещё более простым и эффективным. Удивительно, но именно эта функция является самой важной для Happn, что вызвало недоумение у экспертов по безопасности.
Угроза № 3. Незащищенная передача данных
Большинство приложений передает данные на сервер по зашифрованному каналу с помощью SSL, хотя существует несколько исключений.
Как обнаружили исследователи, одно из наименее защищенных приложений в этом отношении – Mamba. Аналитический модуль, используемый в версии Android, не шифрует информацию об устройстве (такие как модель, серийный номер и т.д.), между тем, версия для iOS подключается к серверу через HTTP и передает все данные без шифрования (т.е. незащищенными), в том числе сообщения. Эти данные не только отображаются, но их можно изменить.
Мамба это не единственное приложение, которое позволяет управлять учетной записью другого человека через незащищенные соединения. Аналогичная ситуация касается приложения Zoosk, однако , исследователям удалось перехватить данные только при передаче через эту программу новых фотографий или видео. К счастью, авторы приложения признали указанную проблему, и быстро её устранили.
Tinder, Paktor, Bumble для Android, а также Badoo для iOS также отправляют фото через протокол HTTP, что позволяет злоумышленнику получить информацию, какие профили просматривает потенциальная жертва.
При использовании приложения Paktor, Badoo и Zoosk, предназначенных для платформы Android, в чужие руки могут попасть и другие сведения – например, данные локализации или информация об устройстве.
Опасность № 4. Атака man-in-the-middle (MITM)
Многие сервисы для знакомств функционируют через защищённый протокол HTTPS. Это обеспечивает проверку подлинности сертификатов и защищает пользователей от атак типа "человек посередине" (MITM), при которых злоумышленник перехватывает и подменяет данные.
Исследователи провели эксперимент, выдав фальшивый сертификат, чтобы проверить, как популярные приложения реагируют на его подлинность. Оказалось, что пять из девяти рассмотренных приложений не выполняют должной проверки сертификатов, что делает их уязвимыми для атак MITM.
Особенно тревожным является то, что большинство сервисов для знакомств позволяют авторизацию через социальные сети, в частности, через Facebook. Если приложение не проверяет подлинность сертификата, это может привести к компрометации временного ключа авторизации. Такой ключ обычно действует в течение двух-трёх недель, и за это время злоумышленник сможет получить доступ к личным данным пользователя в социальных сетях, включая его профиль в приложении для знакомств.
Угроза № 5. Права суперпользователя
Когда речь заходит о приложениях для Android, стоит помнить, что они могут предоставить доступ к своим данным даже тем, кто обладает правами суперпользователя. В отличие от iOS, где вредоносные программы редко получают такие привилегии, на Android это вполне реально.
Результаты недавнего исследования оказались тревожными. Из девяти проверенных приложений восемь оказались уязвимыми для киберпреступников, имеющих права суперпользователя. Исследователи смогли получить токены авторизации для социальных сетей почти во всех этих приложениях. Хотя данные были зашифрованы, ключи дешифрации легко извлекались из самих приложений.
Особенно уязвимыми оказались такие популярные приложения для знакомств, как Tinder, Bumble, OkCupid, Badoo, Happn и Paktor. Они хранят историю переписки и фотографии пользователей вместе с их номерами телефонов. Это означает, что злоумышленник с правами суперпользователя может легко получить доступ к этой конфиденциальной информации, что ставит под угрозу безопасность личных данных миллионов пользователей.
Исследование показало, что многие приложения, предназначенные для знакомств, не уделяют достаточного внимания защите конфиденциальных данных пользователей. Это не причина, чтобы отказывать от использования – просто нужно быть в курсе этой проблемы и там, где это возможно, минимизировать угрозу.
Действия, которые можно предпринять:
- Использовать VPN.
- Установить средства обеспечения безопасности на всех ваших устройствах.
- Раскрывать только те сведения о себе, которые необходимы.
Чего нельзя:
- Делиться информацией о своих учетных записях в социальных сетях в профиле приложения: настоящее имя, фамилия, место работы.
- Указывать адрес электронной почты – ни личный, ни корпоративный.
- Использовать приложения для знакомств через незащищенные сети Wi-Fi.
