Приложения для встреч уже являются частью нашей повседневной жизни. Для того, чтобы найти идеального партнера, пользователи готовы раскрывать своё истинное имя, профессию, место работы, любимые места и многое другое.
Приложения, предназначенные для встреч и знакомств, превратились в кладезь достаточно приватных данных, включая фотографии в неглиже.
Эксперты «Лаборатории Касперского» проанализировали самые популярные мобильные приложения, предназначенные для встреч (Tinder, Bumble, OkCupid, Badoo,Mamba, Zoosk, Happn, WeChat, Paktor), чтобы оценить главные угрозы для пользователей.
О результатах авторы приложений были уведомлены заранее, так что часть из них уже устранила уязвимости в своих продуктах. Некоторые обещали исправить ошибки в ближайшем будущем.
Угроза № 1. Кто ты?
Исследователи обнаружили, что 4 из 9 приложений давали возможность потенциальным преступникам узнать, кто скрывается за псевдонимом. Для этого достаточно было воспользоваться данными, которые публикуют сами пользователи.
Например, программы Tinder, Happn и Bumble позволяют каждому человеку познакомиться с места работы или учебы, которые определил пользователь. Затем эту информацию можно было использовать, чтобы найти чей-то аккаунт в социальных сетях и узнать его настоящее имя и фамилию.
Особенно это относится к приложения Happn, которое использует учетные записи сети Facebook для обмена данными с сервером. Приложив немного усилий, каждый может узнать настоящие имя и фамилию пользователя приложения Happn и другую информацию из профиля на Facebook.
Если кто-то перехватит трафик с личного устройства, на котором установлено приложение Paktor, то сможет узнать адрес электронной почты других пользователей программы.
Оказалось, что можно идентифицировать пользователей приложения Happn и Paktor в других социальных сетях, с 60% шансом успеха для Tinder и 50% для приложения Bumble.
Угроза № 2. Где ты?
6 из 9 приложений предлагает познакомиться с чужого места пребывания. Только OkCupid, Bumble и Badoo держат данные, связанные с местоположением пользователя, под защитой. Другие приложения показывают расстояние между Вами и интересующим Вас человеком. Перемещаясь и анализируя данные об этом расстоянии, можно легко определить точное местоположение «жертвы».
Happn не только показывает количество разделяющих Вас метров, но и количество пересечения путей, что дополнительно облегчает задачу отслеживания. Более того, это самая важная функция приложения, что для экспертов по безопасности было совершенно невероятно.
Угроза № 3. Незащищенная передача данных
Большинство приложений передает данные на сервер по зашифрованному каналу с помощью SSL, хотя существует несколько исключений.
Как обнаружили исследователи, одно из наименее защищенных приложений в этом отношении – Mamba. Аналитический модуль, используемый в версии Android, не шифрует информацию об устройстве (такие как модель, серийный номер и т.д.), между тем, версия для iOS подключается к серверу через HTTP и передает все данные без шифрования (т.е. незащищенными), в том числе сообщения. Эти данные не только отображаются, но их можно изменить.
Мамба это не единственное приложение, которое позволяет управлять учетной записью другого человека через незащищенные соединения. Аналогичная ситуация касается приложения Zoosk, однако , исследователям удалось перехватить данные только при передаче через эту программу новых фотографий или видео. К счастью, авторы приложения признали указанную проблему, и быстро её устранили.
Tinder, Paktor, Bumble для Android, а также Badoo для iOS также отправляют фото через протокол HTTP, что позволяет злоумышленнику получить информацию, какие профили просматривает потенциальная жертва.
При использовании приложения Paktor, Badoo и Zoosk, предназначенных для платформы Android, в чужие руки могут попасть и другие сведения – например, данные локализации или информация об устройстве.
Опасность № 4. Атака man-in-the-middle (MITM)
Практически все серверы, используемые приложениями для знакомств, работают через протокол HTTPS, что означает проверку подлинности сертификата и защиту от атак MITM, при которых трафик жертвы проходит через ложный сервер.
Исследователи установили фальшивый сертификат, чтобы выяснить, какие приложения проверят его подлинность. Оказалось, что большинство приложений (5 из 9) уязвимы для атак MITM, так как не проверяют подлинность сертификатов. Почти все программы разрешают авторизацию с помощью Facebook, так что отсутствие такой проверки может привести к краже временного ключа авторизации. Маркер авторизации действителен в течение 2-3 недель, в это время преступник будет иметь доступ к выбранным данным жертвы в социальных сетях, а также полный доступ к её профилю в приложении для встреч.
Угроза № 5. Права суперпользователя
Независимо от того, какие данные приложение хранит на устройстве, вы можете получить к ним доступ, имея полномочия суперпользователя. Это относится только к устройствам с Android – на iOS вредоносная программа может получить доступ к правам администратора в редких случаях.
Результаты анализа обескураживают: 8 из 9 приложений для Android может предоставлять слишком много информации для кибер-преступников, имеющих права доступа на уровне суперпользователя. Исследователям удалось получить токен авторизации для социальных сетей практически во всех проверенных приложениях. Несмотря на то, что учетные данные были зашифрованы, ключ дешифрации можно было с легкостью извлечь из самого приложения.
Tinder, Bumble, OkCupid, Badoo, Happn и Paktor хранят историю переписки и фотографии пользователей вместе с их номерами. В связи с этим владелец прав доступа на уровне суперпользователя может с легкостью получить эту конфиденциальную информацию.
Исследование показало, что многие приложения, предназначенные для знакомств, не уделяют достаточного внимания защите конфиденциальных данных пользователей. Это не причина, чтобы отказывать от использования – просто нужно быть в курсе этой проблемы и там, где это возможно, минимизировать угрозу.
Действия, которые можно предпринять:
- Использовать VPN.
- Установить средства обеспечения безопасности на всех ваших устройствах.
- Раскрывать только те сведения о себе, которые необходимы.
Чего нельзя:
- Делиться информацией о своих учетных записях в социальных сетях в профиле приложения: настоящее имя, фамилия, место работы.
- Указывать адрес электронной почты – ни личный, ни корпоративный.
- Использовать приложения для знакомств через незащищенные сети Wi-Fi.
