«Лаборатория Касперского» рассказала об опасности популярных приложений для знакомств

«Лаборатории Касперского» проверила, насколько безопасными являются популярные приложения для онлайн-знакомств. Об этом во вторник, 24 октября, сообщается в блоге компании.

В ходе исследования эксперты изучили самые популярные мобильные приложения для онлайн-знакомств — Tinder, Bumble, OK Cupid, Badoo, Mamba, Zoosk, Happn, WeChat и Paktor — и выяснили основные угрозы для их пользователей.

Как оказалось, 4 из 9 изученных экспертами приложений позволяют злоумышленнику вычислить, кто скрывается за тем или иным никнеймом, на основании данных, которые указал сам пользователь. Например, в приложениях Tinder, Happn и Bumble любой желающий может видеть указанное пользователем место работы или учебы. Используя эту информацию, можно выйти на его аккаунты в социальных сетях и узнать настоящие имя и фамилию. Happn и вовсе при обмене данными с сервером использует данные Facebook-аккаунта — приложив незначительные усилия, злоумышленник сможет выяснить имена и фамилии пользователей Happn и прочую информацию из их профилей в Facebook.

Если злоумышленнику захочется узнать, где именно вы находитесь, в этом ему помогут 6 из 9 приложений. Данные о местоположении пользователей тщательно оберегают лишь OK Cupid, Bumble и Badoo. Все остальные приложения указывают, на каком расстоянии находится интересующий вас человек. Перемещаясь и записывая данные о дистанции до жертвы, легко узнать ее точное местоположение.

Исследователи также выяснили, что большинство изученных приложений передают данные на сервер по шифрованному каналу, с использованием SSL, однако из этого правила есть исключения. Одно из самых незащищенных в этом плане приложений — Mamba. Используемый в Android-версии этого приложения модуль аналитики не шифрует данные об устройстве (модель, серийный номер и так далее), а iOS-версия задействует для соединения с сервером протокол HTTP и передает в незащищенном виде все данные, в том числе и сообщения. Как отмечают эксперты, такие данные можно не только просматривать, но и изменять — например, вместо обычного «как дела?» можно от лица пользователя попросить у собеседника денег в долг.

Возможность управлять чужим аккаунтом из-за соединения по незащищенному протоколу была обнаружена не только в Mamba, но и в Zoosk. Правда, там данные можно было перехватить только в момент загрузки новых фото или видео – да и то после уведомления «Лаборатории Касперского» разработчики уже исправили эту проблему.

Приложения Tinder, Paktor, Bumble для Android и Badoo для iOS также подгружают фото по HTTP — это позволяет злоумышленнику узнать, какие анкеты в данный момент изучает жертва.

К тому же, как выяснили исследователи, большинство приложений (5 из 9) уязвимы перед атаками «человек посередине» и не проверяют достоверность сертификатов. А поскольку почти все приложения используют авторизацию через Facebook, отсутствие проверки сертификата может привести к краже токена — временного ключа для авторизации. Токены действуют 2–3 недели, и все это время у преступников будет доступ к некоторым данным жертвы в социальной сети и к ее аккаунту в дейтинговом приложении.

Автор:	Softodrom.ru
Дата:	24.10.2017 18:10