ИБ-эксперты из компании Checkmarx выявили в версиях сервиса Tinder для Android и iOS опасные уязвимости, которые дают хакерам возможность следить за активностью пользователей и осуществлять различные манипуляции с контентом.
По словам исследователей, хакеры, имеющие доступ к той же сети Wi-Fi, что и потенциальная жертва, могут просмотреть пользовательский профиль и следить за активностью пользователя в Tinder.
Суть одной из уязвимостей в том, что сейчас версии Tinder для Android и iOS осуществляют загрузку изображения профиля посредством небезопасных HTTP-соединений.
Злоумышленники могут без труда выяснить, какие профили просматриваются тем или иным устройством. Кроме того, если пользователь будет находится в сети на протяжении достаточно долгого времени либо если приложение работает в уязвимой сети, хакер может вычислить профиль жертвы и детально изучить его.
Эксперты отмечают, что с помощью уязвимости также можно перехватывать и изменять трафик, а именно заменять изображения профилей, размещать нежелательную рекламу и внедрять вредоносный код.
Кроме использования небезопасного протокола HTTP, специалисты также выявили проблему с применением HTTPS в Tinder.
После тщательного анализа трафика, поступающего от клиента на сервер API, и его сопоставления с HTTP-трафиком, хакер может выявить не только изображение, видимое в Tinder, но и действие, совершенное пользователем. Это делается посредством проверки размера полезной нагрузки в зашифрованном ответе сервера API.
Эксперты сообщили разработчикам Tinder о данных уязвимостях. Пока что нет информации о фактах их использования киберпреступниками.
