TechFusion.ruКомпании«Лаборатория Касперского» проанализировала риски онлайн-знакомств

«Лаборатория Касперского» проанализировала риски онлайн-знакомств

знакомства

Специалисты «Лаборатории Касперского» проверили безопасность приложений онлайн-знакомств и выявили несколько опасных моментов, ведущих к деаномизации, утере персональных данных, а также краже личной информации

Знакомства в интернете — это легко, популярно и удобно. Тем более, что риски обмана и опасности уже давно известны. Но в «Лаборатории Касперского» обнаружили и менее очевидные угрозы, связанные с мобильными приложениями для дейтинга. Разработки, призванные упростить процесс знакомств, несут в себе риски деанонимизации пользователя, перехвата и кражи личной информации.

Специалисты «Лаборатории Касперского» изучили 9 популярных приложений, делающих знакомства обычным и простым делом. Это Tinder, Bumble, OK Cupid, Badoo, Mamba, Zoosk, Happn, WeChat и Paktor. Все приложения рассматривались в версиях для мобильных гаджетов под управлением операционных систем Android и iOS.

Под деаномизацией специалисты понимали определение настоящего имени и фамилии по данным профиля в одной из социальных сетей, где использование псевдонима лишено практического смысла. Выяснилось, что злоумышленники могут получить достаточно много данных о пользователях. В том числе аккаунты в соцетях, привычные маршруты, адреса почты и т.д. А обладание личной информацией может нести риски будущих проблем — от рассылки спам-сообщений от чужого имени до шантажа.

Специалисты проверили приложения на следующие угрозы: возможность отследить пользователя, найти его настоящие имя и фамилию, перехватить данные от приложения (как в зашифрованном, так и в незашифрованном виде). Эксперты также оценили риск перехвата сообщений и воровства токенов (идентификационных ключей сторонних сервисов, в частности Facebook) с применением прав суперпользователя на устройстве.

знакомства

Приложение Mamba для Android отображает расстояние до пользователя и пример аккаунта с указанным местом работы, используя которое удалось найти аккаунты пользователя в других социальных сетях. Фото: securelist.ru

Кому доверять?

Как показал анализ, некоторые приложения практически не защищают личную информацию. Но в целом ситуация не настолько плохая, какой могла бы быть. Например, приложение WeChat можно считать самым безопасным из протестированных. Главный риск его использования связан с определением местоположения, однако больше никаких данных злоумышленники перехватить не смогут.

Популярное в России приложение Badoo, наоборот, не раскрывает местоположение пользователя, а также исключает возможности сталкинга. Однако злоумышленники могут реализовать перехват сообщений или использовать токен для получения доступа к аккаунту.

Еще одно распространенное среди российских пользователей приложение Tinder, по мнению экспертов, несет больше угроз. Приложение показывает геолокацию, дает возможность перехватить данные внутри зашифрованного соединения, а также сообщения пользователя.

знакомства

В приложении WeChat видно расстояние до пользователей, а Happn еще и отображает количество «пересечений» с человеком.
Фото: securelist.ru

В то же время Paktor или Happn подвержены сразу нескольким рискам, начиная от раскрытия настоящих имени и фамилии и заканчивая, например, несанкционированным доступом к сообщениям.

Итоги

Собрав воедино все найденные уязвимости в изученных приложениях для знакомств, аналитики получили следующую таблицу:

знакомства

Таблица найденных уязвимостей в изученных приложениях для знакомств. Фото: securelist.ru

где,

  • Location — определение местоположения пользователей («+» — возможно, «-» нет).
  • Stalking — нахождение имени и фамилии пользователя, а так же их аккаунтов в других социальных сетях, процент обнаруженных пользователей (процент обозначает число удач).
  • HTTP — возможность перехватить какие-либо данные от приложения, отправляемые в незашифрованном виде («NO» — не удалось обнаружить данные, «Low» — неопасные данные, «Middle» — данные, которые могут представлять опасность, «High» — данные, перехватив которые, можно получить управление аккаунтом).
  • HTTPS — перехват данных, передаваемых внутри зашифрованного соединения («+» — возможно, «-» нет).
  • Messages — перехват сообщений пользователя («+» — возможно, «-» нет).
  • TOKEN — использование токена для получения доступа к аккаунту («+» — возможно, «-» нет).

«Лаборатория Касперского» сообщила о результатах анализа тем разработчикам приложений, у кого были найдены серьезные проблемы. Некоторые из уязвимостей уже исправлены.

В российском пресс-офисе Badoo на просьбу TechFusion.ru прокомментировать исследование ответили, что считают анализ «Лаборатории Касперского» «крайне неудачной работой, как в плане использования технической терминологии, так и в том, что касается поспешных выводов».

«У нас не было никакой хакерской атаки, не было и утечки данных. Исследование «Лаборатории Касперского» — не более, чем абстрактные рассуждения вкупе с гипотетическими предположениями. Экспертами рассматривается сценарий некой экстремальной ситуации, но с таким же успехом можно было бы рассказать, что случится, если кто-нибудь взломает ваш личный смартфон. Да, не сомневаемся, у вас будет куча проблем», — заявили в компании.

Фото на обложке: pixabay.com