חומר דליק, Badoo, Happn … אפליקציות נתקלות רשעות להגן על הנתונים האישיים שלך


דליפות נתונים אישיות, התקפות של מיקום גיאוגרפי, אין חיבורים מאובטחים ... מצאו את נפש התאומה שלך על אפליקציית בפגישה ניידת הוא לא בהכרח בטוח.

כדי להתיידד הדרך הניידת שלהם, הם משתמשים מפונקים עבור בחירה. אבל החיפוש הזה עבור נפש תאומה אינו בהכרח סודי, כמו שאפשר לחשוב. Kaspersky Lab חוקרי אבטחה בחן את רמת האבטחה תשעה יישומים פגישה, כלומר חומר דליק, Bumble, אישור קופידון, Badoo, ממבה, Zoosk, Happn, WeChat ו פקטור. מסקנה: אף הוא מאובטח לחלוטין.

דליפות נתונים אישיים

יישומים מסוימים מאפשרים לך להוסיף מידע מעבר לגיל או שם / כינוי, וזה לא בהכרח רעיון טוב. ביום tinder, Happn ו Bumble, עשויים למשל לציין את העבודה ואת רמת ההשכלה שלו. "בשנת 60% מהמקרים, המידע היה מספיק כדי לזהות משתמשים ברשת חברתית כמו פייסבוק או לינקדאין, ולקבל את כל השמות שלהם," אמרו החוקרים. אדם זדוני יכול ולפיכך מתחיל להטריד אדם, אפילו אם הוא נחסם על פגישת היישום.

לפעמים זה לא הכרחי כדי להצליב מידע. כשאתה להתייעץ עם פרופיל על Happn, היישום אוטומטי מקבל מספר מזהה שיכול ליירט אשר מקושר לחשבון פייסבוק. אז זה יכול להיות מזוהה בקלות. מצידה, את פקטור יישום ממש שולח את כתובת הדוא"ל של הפרופיל נצפה. קל מדי.

אפשר לאתר משתמשים

רוב היישומים הם פגיעים מיקום גיאוגרפי תקף. ואכן, יישומי הפגישה לציין את המרחק שבו הפרופילים נמצאים, מבלי לפרט. אבל אפשר לשלוח את פרטי קשר שווא לאפליקציות שרתים, וכך להסתובב מטרה בדרך וירטואלית וכך לאתר. לדברי החוקרים, התקפות אלה לעבוד טוב במיוחד עם חומר דליק, ממבה, Zoosk, WeChat ו פקטור.

בחודש יולי 2016, Synacktiv חוקר הוכיח סוג זה של התקפה במהלך הלילה של האק. הם אפילו הצליחו לפרוס רשת של סוכני ניטור וירטואליים מותר לקבל התראה כאשר יעד היה נכנס לשטח.

לא תמיד חיבורים מאובטחים

באופן כללי, אפליקציות פגישה לתקשר עם השרתים שלהם דרך HTTPS. אבל זה לא תמיד המקרה, וכך נסללה הדרך יירוט של נתונים, כגון כאשר הוא מחובר ביטחון hotpot הציבור. לפיכך חומר דליק, פקטור Bumble ולשלוח תמונות באמצעות HTTP. על גרסת אנדרואיד של פקטור, אפשר גם ליירט את הקואורדינטות שם, תאריך לידה, ו- GPS של המשתמש. עם ממבה, זה אפילו יותר גרוע. גרסת iOS שולחת כל HTTP. האקר יכול ולכן בכל רחבי לעכב ולשנות תוך כדי תנועה. זה גם יכול לקבל סיסמה כדי להיכנס לחשבון. פגם דומה זוהה על יישום Zoosk, אבל רק כאשר מעלה תמונות אפליקציה או קטעי וידאו.

Kaspersky- סיכום של נקודות תורפה (+/- אמצעי יכול / לא יכול)

לבסוף, החוקרים מדווחים כי רוב היישומים לא בודקים תעודות HTTPS קיבל. לכן הם פגיעים יירוט התקפים ופענוח של הנחל. עם זאת, זה סוג של התקפה הוא יותר מסובך להתקין. ההאקר לא חייב להיות רק באותה רשת, אלא גם כדי להבטיח שהמשתמש מתקין את תעודת מזויף. ב- iOS, זה כמעט בלתי אפשרי לעשות.

בסופו של הדבר, החוקרים ממליצים להשתמש פגישת היישומים בזהירות. עדיף לא לשאול יותר מדי מידע, כדי למנוע נקודות חמות ציבוריות ולהפעיל רשת VPN.