Компьютерные инженеры испанского происхождения, Марк Пратллюса и Ориол Мартинес, , специализирующиеся на компьютерной безопасности, обнаружилидовольно серьезный сбой приложения для знакомств Tinder Пратллуса и Мартинес, не будучи компьютерными хакерами или кем-то в этом роде, они поняли, что Недостаток дизайна в приложении мог позволить любому с минимальным знанием компьютеров, распознавать на какой широте и долготе находятся люди, с кем вы «совпали» в приложении.Инженеры обнаружили ошибку случайно, проверяя другие приложения, такие как Wallapop, Facebook или Spotify по профессиональным причинам, и именно тогда они обнаружили, чтоприложение передавало местоположение в координатах, а не в расстоянии, как должно быть.
Работа этого приложения очень проста, человек, который его использует, скользит между фотографиями пользователей, которые соответствуют введенным данным и когда они кому-то нравятся, они отмечают их, если человек, которого они отметили, соответствует, будет соответствие В соответствии с этой предпосылкой использования, инженеры обнаружил, что мог определить точное местоположение людей, с которыми они совпадали Ошибка сохранялась даже после того, как заблокировал пользователяИ мы говорим was в прошедшем времени, потому что инженеры Tinder взяли на себя обязательство исправить это, не уведомляя пользователей об ошибке , действуя как будто ничего не случилось.
Но самое неприятное, что этот баг в приложении не только сообщал о местоположении в этот момент, но и показывал каждый раз, когда мы перемещались, что позволяло управлять пользователями другими пользователями, как если бы это была система геолокации.
Tinder ничего не сообщил, он только прокомментировал EL PAIS, что «Конфиденциальность и безопасность наших пользователей являются нашим главным приоритетом. Мы не говорим о конкретных уязвимостях, которые мы можем найти, чтобы защитить их». Но, судя по всему, с тех пор, как инженеры сообщили об ошибке разработчикам приложения, на ее устранение ушло три месяца.
Чтобы получить доступ к этой информации, каталонским инженерам всего лишь нужно было всего лишь установить прокси-сервер между своим телефоном и сервером Tinder. С помощью этого пункта вы можете прочитать информацию, которая отправляется на телефон пользователя.
После того, как прокси был установлен и заметил сбои, они решили создать поддельные профили для выполнения различных тестов, чтобы проверить существование ошибки прокси. И действительно ошибка существовала и они смогли проверить точное местонахождение разных людей, как видно на предыдущем фото Пока неизвестно, как долго это длилось имело место, или сколько людей смогли использовать его злонамеренно, хотя мы можем подтвердить, что прошло три месяца с тех пор, как Pratllusá и Martinez обнаружили это и пока Tinder не решил это.
Источник: EL PAÍS
