Возможность найти в Интернете свою судьбу – на вечер или на всю жизнь – уже давно никого не удивляет. Приложения для знакомств прочно вошли в нашу жизнь и пользуются заслуженной популярностью. Чтобы найти идеального партнера, пользователи таких приложений готовы сообщить, как их зовут, где и кем они работают, в какие рестораны и бары ходят и много другой информации. Дейтинговым приложениям зачастую доверяют даже самое сокровенное – вроде ню-фотографий. Но насколько аккуратно эти самые приложения обращаются с такими данными? Эксперты «Лаборатории Касперского» решили проверить, как у таких приложений обстоят дела с безопасностью.
Наши эксперты изучили самые популярные мобильные приложения для онлайн-знакомств — Tinder, Bumble, OK Cupid, Badoo, Mamba, Zoosk, Happn, WeChat и Paktor — и выяснили основные угрозы для их пользователей. Обо всех найденных уязвимостях мы заранее сообщили разработчикам – и к моменту выхода этого текста часть они уже исправили, а еще часть обещали исправить в ближайшем будущем. Впрочем, не все обещали исправить все.
Угроза первая. Кто вы?
Как выяснили исследователи, 4 из 9 изученных приложений позволяют злоумышленнику вычислить, кто скрывается за тем или иным никнеймом, на основании данных, которые указал сам пользователь. Например, в приложениях Tinder, Happn и Bumble любой желающий может видеть указанное пользователем место работы или учебы. Используя эту информацию, можно выйти на его аккаунты в социальных сетях и узнать настоящие имя и фамилию. Happn и вовсе при обмене данными с сервером использует данные Facebook-аккаунта — приложив незначительные усилия, злоумышленник сможет выяснить имена и фамилии пользователей Happn и прочую информацию из их профилей в Facebook.
Если же кто-то попробует перехватить трафик со своего же собственного устройства, на котором установлено приложение Paktor, они с удивлением cмогут увидеть там адреса электронной почты пользователей этого приложения.
В целом в 100% случаев возможно вычислить в других соцсетях пользователей Happn и Paktor, в 60% — участников Tinder и в 50% — Bumble.
Угроза вторая. Где вы?
Если злоумышленнику захочется узнать, где именно вы находитесь, в этом ему помогут 6 из 9 приложений. Данные о местоположении пользователей тщательно оберегают лишь OK Cupid, Bumble и Badoo. Все остальные приложения указывают, на каком расстоянии находится интересующий вас человек. Перемещаясь и записывая данные о дистанции до жертвы, легко узнать ее точное местоположение.
Сервис Happn показывает не только то, сколько метров отделяет вас от другого пользователя, но и количество раз, когда ваши с ним пути пересекались. Так выследить жертву становится еще легче.
Угроза третья. Незащищенная передача данных
Большинство приложений передают данные на сервер по шифрованному каналу, с использованием SSL, но из этого правила есть исключения.
Как выяснили исследователи, одно из самых незащищенных с этой стороны приложений — Mamba. Используемый в Android-версии модуль аналитики не шифрует данные об устройстве (модель, серийный номер и так далее), а iOS-версия задействует для соединения с сервером протокол HTTP и передает в незащищенном виде все данные, в том числе и сообщения. Такие данные можно не только просматривать, но и изменять — например, вместо обычного «как дела?» можно от лица пользователя попросить у собеседника денег в долг.
Возможность управлять чужим аккаунтом из-за соединения по незащищенному протоколу есть не только в Mamba, но и в Zoosk. Правда, там данные можно было перехватить только в момент загрузки новых фото или видео – да и то после нашего уведомления разработчики уже исправили эту проблему.
Приложения Tinder, Paktor, Bumble для Android и Badoo для iOS также подгружают фото по HTTP — это позволяет злоумышленнику узнать, какие анкеты в данный момент изучает жертва.
При использовании Android-версий Paktor, Badoo и Zoosk в нехорошие руки могут попасть и другие сведения — например, GPS-данные и информация об устройстве.
Угроза четвертая. Атака «человек посередине»
Почти все серверы приложений онлайн-знакомств используют HTTPS-протокол, то есть, проверяя достоверность сертификатов, можно защититься от атак типа «человек посередине» (Man-in-the-middle) – то есть таких, когда трафик жертвы не напрямую идет на сервер веб-сервиса, а предварительно проходит через сервер злоумышленника. Исследователи установили фальшивый сертификат, чтобы узнать, будут ли приложения проверять его достоверность — если нет, то у них появилась бы возможность подсмотреть чужой трафик.
Как выяснилось, большинство приложений (5 из 9) уязвимы перед атаками «человек посередине» и не проверяют достоверность сертификатов. Ну а поскольку почти все приложения используют авторизацию через Facebook, отсутствие проверки сертификата может привести к краже токена — временного ключа для авторизации. Токены действуют 2–3 недели, и все это время у преступников будет доступ к некоторым данным жертвы в социальной сети и к ее аккаунту в дейтинговом приложении.
Угроза пятая. Права суперпользователя
Вне зависимости от того, какие именно данные приложение хранит на устройстве, к ним можно получить доступ, обладая правами суперпользователя. Впрочем, это актуально только для устройств на базе Android — для iOS зловреды, получающие доступ к root, — это экзотика.
Результат анализа не радует: 8 из 9 приложений для Android готовы предоставить злоумышленникам с правами суперпользователя слишком много информации. Так, исследователям удалось выудить токены авторизации для социальных сетей практически из всех приложений. Учетные данные были зашифрованы, но ключ для расшифровки можно было без труда достать из самого приложения.
Tinder, Bumble, OK Cupid, Badoo, Happn и Paktor вместе с токеном хранят историю переписки и фотографии других пользователей. Таким образом, обладатель прав суперпользователя может легко получить доступ к конфиденциальным сведениям.
Вывод
Исследование показало, что многие приложения для знакомств не слишком заботятся о защите конфиденциальных данных своих пользователей. Разумеется, это не повод отказываться от таких сервисов — просто нужно понимать, чем вы рискуете, и по возможности минимизировать эти риски.
Что нужно делать:
- Использовать VPN;
- Установить защитные решения на все устройства;
- Дозировать информацию, которой вы делитесь с незнакомыми людьми.
Чего делать не следует:
- Указывать среди данных в дейтинговом приложении свои аккаунты в других соцсетях, реальные имя, фамилию и место работы;
- Сообщать свой адрес электронной почты — домашний или рабочий;
- Пользоваться сайтами знакомств при подключении к незащищенным Wi-Fi-сетям.