משתמשים בטינדר? האקרים יכולים לראות את ההתאמות שלכם

חברת האבטחה צ'קמרקס מתל-אביב מצאה פגיעות מטרידה ביישום ההיכרויות הפופולרי ● לדברי החוקרים, תוקף זדוני יכול לנצל את הפגיעות ולהפר באופן חמור את פרטיות המשתמשים התמימים

אהבה לא תמימה. אילוסטרציה: Svetlana Smirnova/BigStock

יישום ההיכרויות הפופולרי טינדר (Tinder) אינו משתמש בהצפנה בכדי לשמור על התמונות שלכם בטוחות מפני זרים חטטנים, אשר חולקים את אותו אינטרנט קפה שבו אתם מבלים, כך חשפו חוקרי אבטחה אתמול (ג').

החוקרים מצ'קמרקס (Checkmarx Security), הפועלת מתל-אביב, גילו כי אפליקציות ה-iOS והאנדרואיד של טינדר עדיין חסרות הצפנת HTTPS בסיסית. כלומר, כל מי ששותף לאותו חיבור Wi-Fi יכול לראות את תמונות הטינדר שלכם או להוסיף תמונות משלו לתוך ה-photostream שלכם.

על פי צ'קמרקס, הפגיעויות שנמצאות בטינדר מאז ומתמיד מאפשרות לתוקף פוטנציאלי לשלוט בתמונות הפרופיל שהמשתמש רואה, להחליף אותן בתוכן לא הולם, בתכני פרסום או בסוגים אחרים של תוכן זדוני.

לטובת התפוסים שביניכם נסביר כי אפליקציית טינדר מאפשרת למשתמשיה לדפדף פרופילים של אנשים בסביבה הקרובה שלמעוניינים, כמותם, בהיכרויות – הם מחליקים ימינה בעבור פרופיל שהם אוהבים, שמאל אם הם לא מתעניינים, ולמעלה אם הם "סופר מתלהבים" (Super Like) ממישהו. אם אדם שאהבו חיבב אותם בחזרה, השלב הבא הוא החלפת הודעות צ'אט בכדי לקבוע פגישה. עד כה יצרה האפליקציה יותר מ-20 מיליארד התאמות בין משתמשים ב-196 מדינות.

האם מישהו עוקב אחריכם?

"כפי שרוקוול תיאר בשיר המפורסם שלו, אם אתה תמיד מרגיש שמישהו עוקב אחריך, ואין לך פרטיות – רוב הסיכויים שאתה צודק", כתבה דפנה זהגר, חוקרת ישראלית מצוות צ'קמרקס, בפרסום אודות הפגיעות באתר החברה.

לדברי זהגר, מתקיף עוין עלול לראות ולתעד את כל המהלכים שלכם בטינדר – את מי אהבתם או עם מי החלטתם לשוחח. "אבל האם זאת סיבה מספקת לנטוש את היישום לחלוטין?", שאלה זהגר.

"רוב היישומים כיום נראים פגיעים, אז מה האלטרנטיבה? איפה אנחנו, בתור משתמשים, מותחים את הקו? האם זה בפשרה הקטנה ביותר על הפרטיות שלנו, או שאנחנו מתנערים מכל זה עד שנגנב מידע רגיש?", תהתה החוקרת בטקסט שפרסמה.

לדבריה, עד שכל מפתחי האפליקציות יישמו פתרונות מקיפים לבדיקת אבטחת יישומים, "אנחנו צריכים כנראה להיות עדיין זהירים ומודעים. משמעות הדבר היא הימנעות מרשתות ציבוריות ככל האפשר, שימוש ב-HTTPS במקום HTTP, ובאופן כללי להיות מודעים למה שעלול לקרות מעבר לכתף הווירטואלית שלנו".

טינדר הגיבה לפרסום הפגיעות. בהצהרה ששלחה ל-The Verge כתבה החברה שהתמונות הלא-מוצפנות הן תמונות פרופיל, ומכיוון שטינדר היא פלטפורמה גלובלית חופשית, התמונות זמינות בלאו הכי לכל מי שמחליק על האפליקציה.

החברה רמזה על נקיטת צעדים ביטחוניים נוספים וכתבה ש-"כמו כל חברת טכנולוגיה אחרת, אנחנו משפרים כל הזמן את ההגנה שלנו במאבק נגד האקרים זדוניים. לדוגמה, פלטפורמות האינטרנט שלנו לשולחן העבודה ולנייד כבר מצפינות תמונות פרופיל, ואנו פועלים להצגת תמונות בחוויית האפליקציות שלנו".

טינדר גם הוסיפה ואמרה כי לא תמסור מידע ספציפי לגבי האופן שבו ייראו ההגנות המשופרות האלו, ואמרה כי "עם זאת, איננו נכנסים לפרטים נוספים על כלי האבטחה הספציפיים שאנו משתמשים בהם או על השיפורים שאנו עשויים ליישם בכדי להימנע מטיפים למי שעלולים להיות האקרים".

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים