Приложения для знакомств передают информацию о местоположении пользователей

image

Теги: Synack, спуфинг-атака, уязвимость

Эксперты опасаются, что подобная информация позволит полностью деанонимизировать жертв.

Хакеры могут скомпрометировать популярные мобильные приложения для знакомств с целью получения информации о пользователях. Об этом предупреждают исследователи Synack в интервью изданию Ars Technica. По их словам, подобного рода взломы могут поспособствовать вторжению в личную жизнь жертв.

Исследователям Колби Муру (Colby Moore) и Патрику Уордлу (Patrick Wardle) удалось отслеживать перемещения пользователей популярного приложения для знакомств Grindr, отправляя спуфинговые запросы к серверам, обслуживающим приложение. По их словам, уязвимость существует из-за специальной функции в Grindr, позволяющей пользователям увидеть, как далеко от них находятся другие люди, желающие завести знакомство через мобильное приложение.

Для того чтобы проэксплуатировать уязвимость, исследователи отправили несколько запросов на серверы, обслуживающие Grindr, в которых указывались разные данные о местоположении экспертов. Grindr передавал исследователям расстояние к определенным пользователям, желающим познакомиться через приложение, и путем триангуляции Муру и Уордлу удалось установить точное местоположение жертвы.

Результаты исследования были представлены на конференции Shmoocon. Эксперты установили местоположение пользователей Grindr в области залива Сан-Франциско. По их словам, сопоставление этих данных с информацией, доступной в социальных сетях, позволит полностью деанонимизировать жертв. Исследователи призвали разработчиков Grindr исправить эту уязвимость, но в компании решили не вносить никаких изменений, поскольку считают данную функцию ключевым элементом приложения, а не брешью.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus