bts merchandisebts shopbts sweatshirtbts clothesarmy bombbts official army bombbangtan bombbts army bomb ver 4bts army bomb ver 3bts army bombbts light stickbts official light stickbts light stick ver 4bts light stick ver 3bts dollsbt21 plushiesbts hoodiebts jacketbt21 hoodiebts shirt
TechFusion.ruКомпании«Лаборатория Касперского» проанализировала риски онлайн-знакомств

«Лаборатория Касперского» проанализировала риски онлайн-знакомств

знакомства

Специалисты «Лаборатории Касперского» проверили безопасность приложений онлайн-знакомств и выявили несколько опасных моментов, ведущих к деаномизации, утере персональных данных, а также краже личной информации

Знакомства в интернете — это легко, популярно и удобно. Тем более, что риски обмана и опасности уже давно известны. Но в «Лаборатории Касперского» обнаружили и менее очевидные угрозы, связанные с мобильными приложениями для дейтинга. Разработки, призванные упростить процесс знакомств, несут в себе риски деанонимизации пользователя, перехвата и кражи личной информации.

Специалисты «Лаборатории Касперского» изучили 9 популярных приложений, делающих знакомства обычным и простым делом. Это Tinder, Bumble, OK Cupid, Badoo, Mamba, Zoosk, Happn, WeChat и Paktor. Все приложения рассматривались в версиях для мобильных гаджетов под управлением операционных систем Android и iOS.

Под деаномизацией специалисты понимали определение настоящего имени и фамилии по данным профиля в одной из социальных сетей, где использование псевдонима лишено практического смысла. Выяснилось, что злоумышленники могут получить достаточно много данных о пользователях. В том числе аккаунты в соцетях, привычные маршруты, адреса почты и т.д. А обладание личной информацией может нести риски будущих проблем — от рассылки спам-сообщений от чужого имени до шантажа.

Специалисты проверили приложения на следующие угрозы: возможность отследить пользователя, найти его настоящие имя и фамилию, перехватить данные от приложения (как в зашифрованном, так и в незашифрованном виде). Эксперты также оценили риск перехвата сообщений и воровства токенов (идентификационных ключей сторонних сервисов, в частности Facebook) с применением прав суперпользователя на устройстве.

знакомства

Приложение Mamba для Android отображает расстояние до пользователя и пример аккаунта с указанным местом работы, используя которое удалось найти аккаунты пользователя в других социальных сетях. Фото: securelist.ru

Кому доверять?

Как показал анализ, некоторые приложения практически не защищают личную информацию. Но в целом ситуация не настолько плохая, какой могла бы быть. Например, приложение WeChat можно считать самым безопасным из протестированных. Главный риск его использования связан с определением местоположения, однако больше никаких данных злоумышленники перехватить не смогут.

Популярное в России приложение Badoo, наоборот, не раскрывает местоположение пользователя, а также исключает возможности сталкинга. Однако злоумышленники могут реализовать перехват сообщений или использовать токен для получения доступа к аккаунту.

Еще одно распространенное среди российских пользователей приложение Tinder, по мнению экспертов, несет больше угроз. Приложение показывает геолокацию, дает возможность перехватить данные внутри зашифрованного соединения, а также сообщения пользователя.

знакомства

В приложении WeChat видно расстояние до пользователей, а Happn еще и отображает количество «пересечений» с человеком.
Фото: securelist.ru

В то же время Paktor или Happn подвержены сразу нескольким рискам, начиная от раскрытия настоящих имени и фамилии и заканчивая, например, несанкционированным доступом к сообщениям.

Итоги

Собрав воедино все найденные уязвимости в изученных приложениях для знакомств, аналитики получили следующую таблицу:

знакомства

Таблица найденных уязвимостей в изученных приложениях для знакомств. Фото: securelist.ru

где,

  • Location — определение местоположения пользователей («+» — возможно, «-» нет).
  • Stalking — нахождение имени и фамилии пользователя, а так же их аккаунтов в других социальных сетях, процент обнаруженных пользователей (процент обозначает число удач).
  • HTTP — возможность перехватить какие-либо данные от приложения, отправляемые в незашифрованном виде («NO» — не удалось обнаружить данные, «Low» — неопасные данные, «Middle» — данные, которые могут представлять опасность, «High» — данные, перехватив которые, можно получить управление аккаунтом).
  • HTTPS — перехват данных, передаваемых внутри зашифрованного соединения («+» — возможно, «-» нет).
  • Messages — перехват сообщений пользователя («+» — возможно, «-» нет).
  • TOKEN — использование токена для получения доступа к аккаунту («+» — возможно, «-» нет).

«Лаборатория Касперского» сообщила о результатах анализа тем разработчикам приложений, у кого были найдены серьезные проблемы. Некоторые из уязвимостей уже исправлены.

В российском пресс-офисе Badoo на просьбу TechFusion.ru прокомментировать исследование ответили, что считают анализ «Лаборатории Касперского» «крайне неудачной работой, как в плане использования технической терминологии, так и в том, что касается поспешных выводов».

«У нас не было никакой хакерской атаки, не было и утечки данных. Исследование «Лаборатории Касперского» — не более, чем абстрактные рассуждения вкупе с гипотетическими предположениями. Экспертами рассматривается сценарий некой экстремальной ситуации, но с таким же успехом можно было бы рассказать, что случится, если кто-нибудь взломает ваш личный смартфон. Да, не сомневаемся, у вас будет куча проблем», — заявили в компании.

Фото на обложке: pixabay.com