Эксперты российской компании "Лаборатория Касперского" изучили наиболее популярные приложения для онлайн-знакомств, чтобы узнать, насколько они уязвимы с точки зрения информационной безопасности.
В тестировании приняли участие наиболее популярные dating-приложения в России и мире, включая Tinder, Bumble, OK Cupid, Badoo, Mamba, Zoosk, Happn, WeChat и Paktor.
По результатам исследования стало известно, что только три приложения - Bumble, OK Cupid и Badoo - не позволяют отслеживать местоположение пользователей. В то же время пользователи Tinder, Mamba, Zoosk, Happn, WeChat и Paktor могут быть подвержены атаке с целью установки более точного местоположения, чем это предусмотрено изначально.
Кроме того, специалисты узнали, что приложения Tinder, Paktor и Bumble для Android, а также Badoo для iOS загружают фотографии по протоколу HTTP. Эти данные передаются в открытом виде и могут быть перехвачены - например, у злоумышленников имеется возможность узнавать, какие анкеты просматривает жертва. Правда, большинство приложений все же шифрует эту информацию.
Эксперты также утверждают, что Android-версия Mamba отправляет на сервер аналитики данные об устройстве пользователя в незашифрованном виде, а iOS-версия этого же сервиса соединяется с сервером по протоколу HTTP, вообще не применяя шифрование. Теоретически это дает возможность подменять передаваемую информацию и даже перехватывать управление аккаунтом.
Приложение Badoo для Android, по словам специалистов, загружает на сервер координаты пользователя, а также другую информацию в незашифрованном виде, если не может соединиться по протоколу HTTPS. А ряд приложений, включая Tinder, Happn и Bumble, предлагают пользователю указать информацию о работе и образовании. Во многих случаях это позволяет злоумышленникам обнаружить страницы в соцсетях, узнать имена и фамилии, чтобы в дальнейшем преследовать жертву.
Также стало известно, что приложения Tinder, Bumble, OK Cupid, Badoo, Happn и Paktor для Android хранят переписку в памяти устройства. Это значит, что при наличии root-доступа сообщения могут стать добычей злоумышленников.
Update. С RG Digital связались представители сервиcа Badoo, которые опровергли информацию об уязвимости приложения. "Считаем, что это крайне неудачная работа, как в плане использования технической терминологии, так и в том, что касается поспешных выводов", - заявляют в компании.
"Утечка информации означает, что в чьих-то руках оказалась личная информация пользователей, которая не предназначена для публичного использования, - подчеркнули в Badoo. - У нас не было хакерской атаки, не было и утечки данных. Экспертами рассматривается сценарий экстремальной ситуации, но с таким же успехом можно было бы рассказать, что случится, если кто-нибудь взломает ваш личный смартфон".