От использования приложений в общественных точках Wi-Fi лучше отказаться.
Многие популярные приложения для знакомств плохо защищают персональную информацию пользователей. К такому выводу пришли эксперты «Лаборатории Касперского», проанализировав ряд приложений для iOS- и Android-устройств.
Под прицел исследователей ЛК попали следующие приложения для ОС от Apple и Google: Tinder, Bumble, OK Cupid, Badoo, Mamba, Zoosk, Happn, WeChat и Paktor. В частности их интересовало, какие данные и при каких обстоятельствах может получить злоумышленник с помощью этих сервисов.
Как оказалось, если пользователь указывал в приложении свое место работы, его профиль очень легко было отыскать в соцсетях. Анализируя данные в соцсети, злоумышленник может получить о своей жертве еще больше полезной информации и использовать ее для преследования (сталкинга) и шантажа. Благодаря Tinder, Happn и Bumble исследователям удалось обнаружить страницы пользователей в соцсетях Facebook и LinkedIn, а также узнать их имена и фамилии в 60% случаев.
В остальных исследуемых приложениях оказалось мало сведений о пользователях. Можно было увидеть только фото и узнать возраст, имя или псевдоним. Этих данных оказалось недостаточно для поиска страниц пользователей в соцсетях. Поиск по картинке Google тоже оказался бесполезным.
С помощью сервиса Paktor злоумышленник может получить электронные адреса, и не только пользователей, чьи анкеты он просматривает. Достаточно лишь перехватить свой трафик, а на собственном смартфоне сделать это проще простого. Исследователи уже уведомили разработчика о проблеме.
Приложения Tinder, Mamba, Zoosk, Happn, WeChat и Paktor могут раскрыть местоположение пользователей. Метод базируется на функции, отображающей расстояние до других пользователей. Сервис не указывает направление, однако местоположение жертвы можно определить путем перемещения вокруг нее и анализа данных о расстоянии. Конечно, на это уйдет немало времени и сил. Тем не менее, атакующий может оставаться на своем месте, но предоставлять сервисам ложные координаты, получая каждый раз в ответ данные о расстоянии до жертвы.
Несмотря на использование большинством приложений протокола SSL при обмене данными с сервером, некоторая часть трафика все равно остается незашифрованной. Tinder, PaktorBumble для Android и Badoo для iOS передают изображения по HTTP. Таким образом, у атакующего есть возможность узнать, какие анкеты просматривает жертва.
Помимо прочего, исследователи проверили устойчивость испытуемых сервисов к атакам «человек посередине». На тестовое устройство был установлен поддельный цифровой сертификат. Как оказалось, подлинность сертификатов проверяют лишь Badoo, Bumble и Zoosk для Android, остальные приложения легко обмануть.
Недостаточная защищенность сервисов для знакомств может привести к перехвату и краже персональных данных, а также к деанонимизации пользователей. В свою очередь это чревато разного рода проблемами, начиная от рассылки спама от их имени и заканчивая шантажом.
Эксперты ЛК советуют воздержаться от использования вышеупомянутых приложений при подключении к общественным точкам доступа Wi-Fi, особенно без парольной защиты. Также рекомендуется использовать VPN и установить на устройство антивирусное решение.
