Tinder: Perhatikan Hacker Mudah Perisik di Stream Photo dan Swipes

Tinder telah dilanggar. Menurut laporan yang dikeluarkan oleh syarikat keselamatan aplikasi Checkmarx pada hari Selasa, kelemahan dalam penyulitan Tinder boleh membenarkan penggodam mengintip akaun Tinder aktif.

Hanya dengan menyambung ke rangkaian wifi yang sama, pengintip Tinder boleh memanfaatkan strim foto pengguna Tinder. Ini mungkin kerana Tinder tidak menggunakan penyulitan HTTPS apabila menolak foto (terkandung dalam "paket" maklumat) ke aplikasinya. Menggunakan program yang disebut "sniffer paket", penggodam boleh memuat turun sebarang paket yang dihantar pada rangkaian wifi yang sama, dan jika ia tidak disulitkan, mereka boleh memeriksa kandungannya.

Kerana gambar-gambar ini secara teknikal sudah tersedia untuk tontonan awam, para pengintip tidak mengumpulkan maklumat peribadi; Namun, ia jelas menyeramkan apa yang dapat mereka lihat dari segi interaksi dengan mereka.

Walaupun Tinder tidak menggunakan penyulitan HTTPS untuk tindakan seperti swiping, penyelidik Checkmarx juga mendapati cara yang sama. Apabila anda sapu pada aplikasinya, telefon anda menghantar maklumat ke rangkaian wifi anda yang sepadan dengan tindakan itu, sekali lagi dalam satu paket. Oleh kerana swipes disulitkan, seseorang yang memeriksa maklumat itu tidak boleh memahami apa yang dimaksudkan. Tetapi Tinder swipes hanya datang dalam tiga jenis: sapu kiri, sapu kanan, dan super suka. Cara enkripsi ditetapkan, setiap kali anda menggesek ke kiri, paket akan menjadi saiz yang sama. Oleh kerana setiap sapu dikaitkan dengan saiz paket yang berbeza yang tidak berubah, penonton dapat melihat dengan jelas apa yang anda lakukan dengan memeriksa saiz paket, dan bukannya maklumat di dalam paket. Dengan alat yang betul, seolah-olah seseorang hanya melihat skrin anda.

Apa yang benar-benar membimbangkan ialah penggodam boleh memasukkan gambar mereka sendiri ke dalam aliran foto pengguna dengan memintas lalu lintas yang tidak diskrit, menurut Checkmarx.

Ia mudah untuk membayangkan akibat-akibat yang mungkin. Gambar-gambar batang yang tidak diminta akan menjadi hujung gunung ais; iklan, ancaman, dan Tide Pod memes semua boleh menyusup masuk ke aplikasi anda.

Selain daripada memalukan, Checkmarx berkata kerentanan boleh digunakan untuk memeras ugut atau mengekspos kebiasaan Tinder pengguna. Checkmarx berkata mereka memberitahu Tinder mengenai kelemahan pada bulan November, tetapi mereka masih belum memperbaikinya.

Dalam satu kenyataan kepada Songsang, seorang jurucakap Tinder berkata, "Kami sedang berusaha untuk menyulitkan imej pada pengalaman aplikasi kami juga. Walau bagaimanapun, kami tidak memaklumkan terperinci tentang alat keselamatan khusus yang kami gunakan, atau peningkatan yang kami mungkin laksanakan untuk mengelakkan diri dari melakukan penggodam."

Sehingga Tinder datang dengan penyelesaian, cara yang paling mudah untuk mempertahankan diri daripada penonton digital adalah mudah: jangan sapu di depan umum.