פירצת האבטחה בטינדר: מה עומד מאחוריה ומדוע היא עדיין פעילה?

חברת אבטחת המידע Checkmarx חשפה פירצה שמאפשרת להאקרים לעקוב אחרי הההתכתבויות והבחירות שלכם באפליקציה

מקור: טינדר

אפליקצית ההיכרויות המגה פופולארית טינדר שהושקה ב-2012 הספיקה לבצע שידוכים בקרוב ל-200 מדינות. כעת מודיעה Checkmarx הישראלית כי חשפה פירצת אבטחה חמורה באפליקציה הנובעת משתי חולשות, שיחד מאפשרות פחות או יותר לכל האקר מתחיל לרגל אחרי הפעילות שלכם בפלטפורמה.

המשמעות? התוקפים יכולים לראות את הפרופיל שלכם, את הפרופילים שאתם בוחנים ואת גזר הדין שנתתם לכל אחד; תנועת סווייפ ימינה, שמאלה או הסופר לייק המיוחל. בשורה התחתונה, התוקף יכול לעקוב אחר השידוכים שנוצרו עבור כל משתמש באפליקציה, מה שללא ספק פוגע בפרטיות המשתמשים, שסה”כ מנסים למצוא את החצי השני שלהם.

פוטנציאל פגיעה גבוה

החולשה שהתגלה בטינדר מתאפשרת כאשר המשתמש והתוקף נמצאים באותה רשת WiFi, כלומר – רשת ציבורית בבית קפה, שדה תעופה, קניון וכמובן מקום העבודה שלנו. מסתבר שטינדר משתמשת בפרוטוקול HTTP לא מאובטח בשליחת בקשות להורדת תמונות הפרופיל של המשתמשים, כאשר הדבר רלוונטי בשתי הגרסאות של האפליקציה – אנדרואיד ו-iOS.

checkmarx - tinder

מקור: צילום מסך, Checkmarx

בשיחה עם גיקטיים הסביר לנו עמית אשבל, מנהל מחלקת שיווק מוצר ב-Checkmarx כי טינדר לא הצפינו את תמונות הפרופיל, מה שאומר שלא צריך שום כלי מיוחד על מנת לנתח את תעבורת הרשת, אך הפעולות של המשתמשים – האינטראקציות שלהם עם הפרופילים השונים – כן הוצפנו. יחד עם זאת, כאשר הם הביטו קצת יותר לעומק, הם גילו שההצפנה לא הייתה מושלמת; במקום להשתמש במה שנקרא “padding” – שהתשובות שחוזרות ברשת, המוצפנות, יהיו בגדלים זהים על מנת שלא ניתן יהיה לדעת את המשמעות של כל אחת, כל פעולה בטינדר קיבלה תמונה משל עצמה, מה שמאפשר לזהות את הפעולות שכל משתמש מבצע (שכן הן מסתכמות במשהו כמו 5).

לצד היכולת לעקוב אחר כל צעד של המשתמש באפליקציה, הפירצה מאפשרת לתוקף להשתלט על תמונות הפרופיל שהמשתמש רואה ולהחליף את אלו בתוכן לא הולם או פרסומות. בנוסף ליצר המציצני והפגיעה בפרטיות, תוקפים יכולים להשתמש בחולשות הללו על מנת לסחוט משתמשים, כמו לדוגמא כאלו שבוגדים בבני הזוג שלהם ויעשו הכל כדי שזה לא יתגלה.

עוד הוסיף אשבל: “הדרך היחידה להימנע מהפרצה היא לא להתחבר לרשת WIFI פתוחה או לא מוכרת ומבחינת טינדר החברה צריכה לוודא שפרוטוקל התקשורת שהחברה משתמשת בו מאובטח ומוצפן על אמות מידה מקצועיות ומוכרות בקרב חברות טכנולוגיה”. Checkmarx פנתה לטינדר לתיקון הפרצה שהתגלתה בנובמבר, אך זו טרם תוקנה, מה שאומר שמשתמשים באפליקציה עדיין חשופים אליה.

Checkmarx מפתחת כלים לבדיקה ואנליזה של קוד ומזהה פרצות ובעיות אבטחה. בשנת 2015 היא נרכשה על ידי קרן אינסייט תמורת למעלה מ-80 מיליון דולר.

וידאו: כך פירצת האבטחה פועלת

הילה חיימוביץ׳

גיקית, Deal With It

הגב

5 Comments on "פירצת האבטחה בטינדר: מה עומד מאחוריה ומדוע היא עדיין פעילה?"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 
Sort by:   newest | oldest | most voted
כרובי
Guest

מי שמתחבר לוויפי ציבורי מאפשר בכל מקרה לחדור למכשיר שלו, בלי קשר לטינדר או אפליקציות אחרות. זה קל מאוד לביצוע.

nhho
Guest

פרסומת זולה לחברת ההבטחה
זו לא פריצה אלה חולשה – כל עניין ניצול אי הצפנה ברשת מקומית מול HTTP הוא עניין ידוע משנים – היה ב פייסבוקלינקאיןווטסאפ .. עד שעברו למוצפן

whoopdedoo
Guest

צודק ומחזק.
קראתי את הכתבה בwired ואמרתי לעצמי ששום מגזין שמכבד את עצמו לא יכניס את הכתבה ושמחתי שארבעה ימים זה לא הופיע בגיקטיים, עד שהפתעתם לרעה.
כתבת יח”צ ותו ולא.

שהם
Guest

בחיים שלך לא כתבת קוד תוכנה באפילו בפסקל ואתה מבלבל כאן את המוח כאילו את המומחה הכי גדול בעולם. מי שאין לו מה להגיד כותב שטויות. במקום לפגוע באחרים תתמקד בלעשות לעצמך טוב.

Yatz
Guest

your lame

wpDiscuz

תגיות לכתבה: