REKOMENDUJ | DO ULUBIONYCH | RSS | NEWSLETTER Nick: Hasło: ZAREJESTRUJ  
 
Autor: Kan2017-11-02 07:14 | PDA & Navi | kaspersky | poradnik | erotyka | aplikacje
Kan
Wykop Sledzik Google drukuj Poleć 1

Czy aplikacje do randkowania są bezpieczne?

Szukanie swojego przeznaczenia w internecie — czy to długofalowej relacji, czy spotkania na jedną noc — zdobywa od jakiegoś czasu coraz większą popularność. Aplikacje do randkowania są już częścią naszej codzienności. Aby znaleźć idealnego partnera, ich użytkownicy są gotowi ujawnić swoje prawdziwe imię, zawód, miejsce pracy, ulubione miejsce i wiele innych informacji. Aplikacje służące do randkowania są często powiernikami dosyć intymnych danych, w tym zdjęć w negliżu. Jak obchodzą się one z danymi wrażliwymi? Kaspersky Lab zdecydował sprawdzić ich zabezpieczenia.


Eksperci z Kaspersky Labprzeanalizowali najpopularniejsze mobilne aplikacje służące do randkowania (Tinder, Bumble, OkCupid, Badoo, Mamba, Zoosk, Happn, WeChat, Paktor), aby poznać najważniejsze zagrożenia dla użytkowników. O naszych wynikach poinformowaliśmy zawczasu autorów, dzięki czemu przed opublikowaniem tego tekstu część z nich wyeliminowała luki w swoich produktach. Niektórzy zadeklarowali się poprawić błędy w najbliższej przyszłości. Jednak nie każdy programista obiecał, że załata dziury w swojej aplikacji.

Zagrożenie nr 1. Kim jesteś?

Badacze z Kaspersky Lab wykryli, że 4 z 9 aplikacji, które przeanalizowali, umożliwiały potencjalnym przestępcom poznanie, kto ukrywa się za pseudonimem. Wykorzystywane do tego celu były dane publikowane przez samych użytkowników. Na przykład programy Tinder, Happn i Bumble umożliwiały każdej osobie poznanie miejsca pracy czy nauki, które zdefiniował użytkownik. Następnie informacji tych można było użyć do odnalezienia czyjegoś konta w portalach społecznościowych i poznać jego prawdziwe imię i nazwisko. Szczególnie dotyczy to aplikacji Happn, która używa kont w serwisie Facebook do wymiany danych z serwerem. Przy odrobinie wysiłku każdy może poznać imiona i nazwiska użytkowników aplikacji Happn oraz inne informacje z profilu na Facebooku.

Jeśli ktoś przechwyci ruch z urządzenia osobistego, na którym zainstalowana jest aplikacja Paktor, może poznać adresy e-mail innych użytkowników programów.

Okazało się, że można zidentyfikować użytkowników aplikacji Happn i Paktor w innych mediach społecznościowych, z 60% szansą powodzenia dla Tindera i 50% dla aplikacji Bumble.

Zagrożenie nr 2. Gdzie jesteś?

6 na 9 aplikacji oferuje poznanie czyjegoś miejsca pobytu. Jedynie OkCupid, Bumble i Badoo trzymają dane związane z lokalizacją użytkownika pod kluczem. Pozostałe aplikacje wskazują odległość między Tobą a interesującą Cię osobą. Poruszając się i rejestrując dane na temat tej odległości, łatwo jest określić dokładną lokalizację „zdobyczy”.

Happn nie tylko pokazuje liczbę dzielących Was metrów, ale także liczbę przecinania się ścieżek, co dodatkowo ułatwia zadanie śledzenia. W rzeczywistości jest to najważniejsza funkcja tej aplikacji, co było dla nas wręcz niewiarygodne.

Zagrożenie nr 3. Niezabezpieczony transfer danych

Większość aplikacji przesyła dane do serwera kanałem szyfrowanym przy użyciu SSL, choć istnieje też kilka wyjątków.

Jak odkryli badacze z Kaspersky Lab, jedną z najmniej zabezpieczonych aplikacji w tym względzie jest Mamba. Moduł analityczny użyty w wersji Android nie szyfruje informacji na temat urządzenia (takich jak model, numer seryjny itp.), tymczasem wersja dla systemu iOS łączy się z serwerem poprzez HTTP i przesyła wszystkie dane w postaci nieszyfrowanej (czyli niechronionej), w tym wiadomości. Dane te nie tylko są widoczne, ale można je również modyfikować.

Mamba to nie jedyna aplikacja, która umożliwia zarządzanie kontem kogoś innego poprzez niezabezpieczone połączenie. Podobna sytuacja dotyczy programu Zoosk, jednak naszym badaczom udało się przechwycić dane jedynie podczas przesyłania przez tę aplikację nowych zdjęć lub filmów. Na szczęście autorzy aplikacji pochylili się nad wskazanym przez nas problemem i szybko go wyeliminowali.

Tinder, Paktor, Bumble dla Androida, a także Badoo dla systemu iOS także przesyłają zdjęcia za pośrednictwem protokołu HTTP, co umożliwia atakującemu uzyskanie informacji, które profile są przeglądane przez potencjalną ofiarę.

Podczas korzystania z aplikacji Paktor, Badoo i Zoosk przeznaczonych dla platformy Android w niepowołane ręce mogą wpaść inne szczegóły — np. dane współrzędne czy informacje o urządzeniu.

Zagrożenie nr 4. Atak man-in-the-middle (MITM)

Niemal wszystkie serwery wykorzystywane przez aplikacje do randek internetowych wykorzystują protokół HTTPS, co oznacza, że sprawdzanie autentyczności certyfikatu może ochronić przed atakami MITM, w których ruch ofiary przechodzi przez fałszywy serwer w dobrej wierze. Badacze zainstalowali fałszywy certyfikat, aby dowiedzieć się, czy aplikacje sprawdzą jego autentyczność (jeśli nie, ułatwiają szpiegowanie czyjegoś ruchu).

Okazało się, że większość aplikacji (5 z 9) jest podatna na ataki MITM, ponieważ nie weryfikują one autentyczności certyfikatów. Niemal wszystkie aplikacje zezwalają na autoryzację przy użyciu Facebooka, więc brak takiej weryfikacji może prowadzić do kradzieży tymczasowego klucza autoryzacji w postaci tokena. Tokeny są ważne przez 2–3 tygodnie, w tym czasie przestępcy mają dostęp do wybranych danych ofiary w mediach społecznościowych, a także pełny dostęp do jej profilu w aplikacji do randkowania.

Zagrożenie nr 5. Uprawnienia superużytkownika

Bez względu na to, jakie dane aplikacja przechowuje na urządzeniu, można uzyskać do nich dostęp, posiadając uprawnienia superużytkwonika. Dotyczy to wyłącznie urządzeń z systemem Android — w systemie iOS szkodliwy program może uzyskać dostęp administratora w sporadycznych okolicznościach.

Wyniki analizy są co najmniej zniechęcające: 8 z 9 aplikacji dla Androida może dostarczać zbyt wiele informacji dla cyberprzestępców posiadających uprawnienia dostępowe na poziomie superużytkownika. Badaczom udało się uzyskać tokeny autoryzacyjne dla mediów społecznościowych w niemal wszystkich badanych aplikacjach. Mimo że dane uwierzytelniające były zaszyfrowane, klucz deszyfrujący można było z łatwością wydobyć z samej aplikacji.

Tinder, Bumble, OkCupid, Badoo, Happn i Paktor przechowują historię komunikacji i zdjęcia użytkowników wraz z ich tokenami. W związku z tym posiadacz uprawnień dostępu na poziomie superużytkownika może z łatwością uzyskać te poufne informacje.

Wniosek

Badanie pokazało, że wiele aplikacji służących do randkowania nie traktuje wrażliwych danych użytkowników z wystarczającą dbałością. To nie powód, aby ich nie używać wcale — wystarczy mieć świadomość tego problemu i tam, gdzie to możliwe, minimalizować zagrożenie.

Działania, które trzeba podjąć:

  • Korzystać z VPN-a.
  • Zainstalować produkty zabezpieczające na wszystkich urządzeniach.
  • Udostępniać tylko te informacje o sobie, które są konieczne.

Czego nie wolno:

  • Udostępniać informacji na temat swoich kont w mediach społecznościowych w profilu aplikacji: prawdziwego imienia, nazwiska, miejsca pracy.
  • Podawać adresu e-mail — ani prywatnego, ani firmowego.
  • Korzystać ze stron służących do randek online poprzez niezabezpieczone sieci Wi-Fi.

Autor: Alexandra Golovina – Oficjalny blog Kaspersky Lab

Kan


Oceń ten artykuł w skali od 1 do 5.
Tagi: | kaspersky | poradnik | erotyka | aplikacje Wykop Sledzik Google drukuj Poleć 1
Komentarze: 1 | Napisz komentarz | Zobacz wszystkie komentarze na forum >>

AnonimGajeno
Niezarejestrowany




Zgłoś naruszenie
Wysłano: 2017.11.02 08:55 Odpowiedz
Samymi aplikacjami nie przejmował bym się aż tak bardzo, co osobami które można na tych portalach spotkać. Poza zwykłymi zboczeńcami liczącymi jak zawsze na przelotny sex, coraz częściej portale randowe służą mafiom oraz różnego rodzaju gangom fo polowania na kobiety które można w prosty sposób porwać, a następnie sprzedać na czarnym rynku różnego rodzaju obskurnym acencjom towarzyskim. i właśnie na tym powinny skupiać sie rzady tego świata, a nie wyklucaniu się o bzdury.

Napisz komentarz
Nick
  


Pogrubienie    Kursywa    Podkreślenie    Adres email    Cytat    Link    Obrazek    Film Youtube - wklej pełny link   

Wpisz kod z obrazka. Zaloguj się, żeby dodawać komentarze bez ograniczeń.
Wysłać powiadomienie email przy nowych odpowiedziach?






Ankieta
mObywatel - z jakim prawdopodobieństwem zainstalujecie aplikację

100 %
75 %
50 %
25 %
0 %
A co to jest?


WynikiAnkiety

Głosów 213

Newsy
Artykuły
Video
Rankingi
Pliki / Download
Redakcja
Archiwum
RSS
Regulamin
Kontakt
Telefony Taryfy
Rozrywka Systemy Rynek Tablety Inne
// dodatkowy kod na dole strony (intext)