Affidiamo alle app di incontri online i nostri segreti ancora intimi. Ciononostante mezzo vengono gestite le nostre informazioni?
Durante comprendere il collaboratore astratto, gli utenti di queste app sono pronti a rivelare il preciso notorieta, affinche faccenda fanno e luogo, affinche posti frequentano e tante altre informazioni. Sono app cosicche contengono informazioni piuttosto personali e verso volte e ritratto in assenza di veli costo omgchat (ovvero circa). Ma i dati sono gestiti insieme la dovuta attenzione? Kaspersky Lab ha posto alla esame la loro abilita.
I nostri esperti hanno esplorato le piu popolari app arredo di incontri online (Tinder, Bumble, OkCupid, Badoo, Mamba, Zoosk, Happn, WeChat, Paktor) e identificato le principali minacce a causa di gli utenti. Abbiamo formato sopra caparra gli sviluppatori per pregio alle vulnerabilita riscontrate, alcune dovrebbero essere appunto state ora perche abbiamo pubblicato codesto saggio risolte, altre lo saranno nel prossimo seguente. Durante qualsiasi evento, non tutti gli sviluppatori hanno promesso di presenziare riguardo a tutte.
Avvertimento 1: chi siete?
I nostri ricercatori hanno indifeso giacche quattro delle nove app analizzate consentirebbero a potenziali criminali di salire per chi si nasconde secondo un nickname, utilizzando i dati forniti dagli stessi utenti. Ad ipotesi, Tinder, Happn e Bulmble consentono verso chiunque di vedere dove lavora oppure studia l’altra persona, qualora specificato. Mediante questa notizia, si puo rincarare agli account sui social sistema e trovare il autentico nome. Happn, sopra caratteristica, utilizza gli account Facebook attraverso lo equivoco di dati unitamente il server. Insieme un infimo serieta, chiunque puo reperire reputazione e famiglia degli utenti Happn, dunque appena tante altre informazioni dei profili Facebook.
E qualora qualcuno intercetta il maneggio da un strumento individuale verso cui e installato Paktor, la rivelazione e cosicche si possono esprimere gli indirizzi email degli utenti della app.
Nel 100% dei casi e verosimile , a andarsene da un contorno Happn ovvero Paktor, scoprire la persona con questione sugli gente social rete informatica; la provvigione scende al 60% durante Tinder e al 50% durante Bumble.
Insidia 2: in cui siete?
Nell’eventualita che qualcuno vuole conoscenza qualora vi trovate, sei app su nove potranno assegnare una lato. Solo OkCupid, Bumble e Badoo proteggono l’ubicazione dell’utente. Tutte le altre app indicano la tratto in mezzo a voi e la persona di vostro partecipazione. Muovendovi un po’ e collegando i dati della percorso reciproca, e accessibile determinare l’esatta ubicazione di chi vi piace.
Happm non semplice esposizione quanti metri vi separano da un seguente cliente, bensi ancora il gruppo di volte in cui le vostre strade si sono incrociate, rendendo il cortese adesso piuttosto facile. E di avvenimento la efficienza con l’aggiunta di autorevole della app, incredibile bensi autentico.
Intimidazione 3: passaggio non soccorso dei dati
La maggior parte delle app trasferisce i dati sul server mediante un onda SSL cifrato; tuttavia, ci sono alcune eccezioni.
Che hanno esplorato i nostri ricercatori, una delle app eccetto sicure mediante tal verso e Mamba. Il schema di analytics impiegato nella variante Android non somma i dati giacche riguardano il apparecchio (campione, talento di serie etc) e la variante iOS si socio al server per HTTP e trasferisce tutti i dati non cifrati (quindi non protetti), messaggi compresi. Questi dati non solitario sono visibili a tutti eppure possono capitare modificati. Ad esempio, e verosimile migliorare il annuncio “Come va?” durante una interrogazione di ricchezza.
Mamba non e l’unica app cosicche consente di dirigere l’account di qualcun altro gratitudine a una unione non protetta; lo proprio vale durante Zoosk. Comunque, i nostri ricercatori sono riusciti a captare i dati di Zoosk semplice laddove venivano caricati fotografia e schermo nuovi: posteriormente abitare stati avvisati, gli sviluppatori hanno risolto subito il incognita.
Addirittura le versioni Android di Tinder, Paktor e Bumble, e la adattamento iOS di Badoo caricano le ritratto mediante il registrazione HTTP, il affinche consentirebbe a un cybercriminale di mostrare quali profili sta visitando la morto.
Utilizzando le versioni Androdi di Paktor, Badoo e Zoosk altre informazioni importanti possono uccidere nelle mani sbagliate, come dati del GPS e info sul apparecchio.
Pericolo 4: attacchi Man-In-the-Middle (MITM)
Circa tutti i server delle app di incontri online utilizzano protocolli HTTPS: cio vuol riportare perche, verificando l’autenticita del documento, ci si puo difendere dagli attacchi Man-In-The-Middle, ringraziamento ai quali il transito della bersaglio viene travisato circa un server ingannevole. I ricercatori hanno installato un titolo inganno a causa di contattare nel caso che le app ne verificassero l’autenticita; mediante accidente ostile, pedinare il traffico degli utenti sarebbe incombenza comprensivo.
Cinque app su nove erano vulnerabili ad attacchi MITM, in quanto non verificavano l’autenticita dei certificati. E ormai tutte le app autorizzavano l’accesso di traverso Facebook, verso cui la difetto di un documento affidabile poteva consegnare al borseggio di chiavi di apertura temporanee. I token sono validi coppia oppure tre settimane, epoca nello spazio di il ad esempio i cybercriminali potrebbero vestire scatto ad alcuni dati dei social rete di emittenti delle vittime, oltre all’accesso gremito al fianco sulla app di incontri.
Minaccia 5: accessi da direttore
Autonomamente dalla peculiarita di dati che queste app immagazzinano sul congegno, tali dati sono disponibili per chi gode di accessi da direttore. Cio riguarda innanzitutto i dispositivi Android, e invece straordinario affinche un malware riesca ad procurarsi tali accessi riguardo a iOS.
Il conseguenza della nostra studio e invece sconsolante: otto app circa nove, versione Android, forniscono eccessive informazioni ai cybercriminali con entrata da direttore. I ricercatori sono riusciti per prendere token di accesso durante i social network da quasi tutte le app con disputa. Le credenziali erano cifrate ciononostante si poteva aumentare comodamente alla chiave verso decriptarle subito dalla app.
Tinder, Bumble, OkCupid, Badoo, Happn e Paktor immagazzinano la ordine temporale delle conversazioni e le ritratto degli utenti unione ai token. Chi ha l’accesso da direttore puo ottenere bene questi dati confidenziali.
Conclusioni
Lo studio dimostra in quanto molte app di incontri non gestiscono i dati con l’attenzione in quanto meritano. Non e un motivo in cessare di usarle, tuttavia faccenda comprendere quali sono i rischi e, qualora facile, minimizzarli.