Inżynierowie komputerowi pochodzenia hiszpańskiego, Marc Pratllusá i Oriol Martínez, specjalizujący się w bezpieczeństwie komputerowym, znaleźli dość poważna awaria aplikacji randkowej Tinder Pratllusá i Martínez, nie będąc hakerami komputerowymi ani nic w tym rodzaju , zdali sobie sprawę, że wada projektowa aplikacji może pozwolić każdemu z minimalną znajomością komputerów, rozpoznać, jaką szerokość i długość geograficzną mają ludzie, z którymi „dopasowałeś” w aplikacji.Inżynierowie odkryli błąd przypadkowo, sprawdzając inne aplikacje, takie jak Wallapop, Facebook czy Spotify z powodów zawodowych, i wtedy odkryli, żeaplikacja przesyłała lokalizację we współrzędnych, a nie w odległości, jak powinna.
Obsługa tej aplikacji jest bardzo prosta, osoba, która z niej korzysta, przesuwa się między zdjęciami użytkowników, które pasują do wprowadzonych danych i gdy ktoś je polubi, oznacza je, jeśli osoba, którą zaznaczył, odpowiada, nastąpi dopasowanie Zgodnie z tym założeniem inżynierowie odkrył, że może zidentyfikować dokładną lokalizację osób, które dopasował Błąd występował nawet po zablokowaniu użytkownikaMówimy, że był, w czasie przeszłym, ponieważ Inżynierowie Tindera podjęli się naprawienia go bez powiadamiania użytkowników o błędzie , działając jakby nic się nie stało.
Ale najbardziej niepokojące jest to, że ten błąd w aplikacji nie tylko zgłaszał lokalizację w tym momencie, ale także wskazywał za każdym razem, gdy się poruszaliśmy, który pozwalał innym użytkownikom kontrolować użytkowników tak, jakby to był system geolokalizacji.
Tinder nic nie zgłosił, jedynie skomentował EL PAíS, że „Prywatność i bezpieczeństwo naszych użytkowników jest naszym najwyższym priorytetem. Nie mówimy o konkretnych lukach, które możemy znaleźć w celu ich ochrony”. Ale najwyraźniej odkąd inżynierowie zgłosili błąd twórcom aplikacji, jego usunięcie zajęło trzy miesiące.
Aby uzyskać dostęp do tych informacji, katalońscy inżynierowie musieli tylko zainstalować serwer proxy między telefonem a serwerem Tinder. Za pomocą tej pozycji możesz odczytać informacje wysyłane do telefonu użytkownika.
Po zainstalowaniu serwera proxy i zauważeniu błędów postanowili utworzyć fałszywe profile w celu przeprowadzenia różnych testów w celu zweryfikowania istnienia błędu pełnomocnika. I rzeczywiście błąd istniał i byli w stanie zweryfikować dokładną lokalizację różnych osób, jak widać na poprzednim zdjęciu Nie wiadomo jeszcze, jak długo to trwało miało miejsce lub ile osób mogło go złośliwie użyć, chociaż możemy potwierdzić, że minęły trzy miesiące, odkąd Pratllusá i Martínez go odkryli i dopóki Tinder go nie rozwiązał.
Źródło: EL PAÍS
