Tinder并不以最安全的应用而闻名。大多数用户在滑动时只是在寻找比赛。一份新报告发现,Tinder并没有使用加密来防止使用与陌生人相同的Wi-Fi网络的人保护照片。
这可能不是家里的问题,但是在访问公共Wi-Fi网络时,黑客可以看到人们的火种照片。
没有加密
以色列公司Checkmarx发现用户的信息Tinder的iOS和Android应用程序没有使用基本的HTTPS加密受到保护。缺乏加密将使任何人都可以轻松查看人们的火种照片或将照片添加到用户的个人资料中。
黑客可以使用HTTP连接和可预测的HTTPS响应大小来解码加密签名。这使他们可以查看用户的刷卡活动。对于安全数据,Tinder使用HTTPS通信协议。对于个人资料图像,Tinder使用HTTP,这是一个较不安全的旧协议。
使用用户可以探索其配置文件并在应用程序上查看其活动的同一网络上的HTTP连接。黑客可以查看从设备发送和从设备发送的所有图像。他们还可以更改图像并添加图像。
即使使用更安全的HTTPS协议来保护信息,黑客也可以看用户对其他配置文件采取的行动。基于类似,不喜欢和超级类似的键的差异,仍然可以根据Tinder的加密信息来分开。这使黑客可以观察用户对Tinder采取的动作。
能够监视人们的火种偏好可能很危险。了解这些信息,黑客可以使用其性偏好和其他私人信息来勒索用户。除了违反信息外,黑客还可以将照片更改为广告或不适当的图像。
火种回答了该缺陷,说只有配置文件图像在添加了安全修复程序之前没有加密。
蒂德在一家陈述。 “例如,我们的桌面和移动网络平台已经加密配置文件图像,我们也在努力在应用程序体验上加密图像。”
checkmarx说它告诉Tinder几个月前的安全漏洞,但是该应用程序没有采取任何措施来纠正错误,因此该公司将其付诸实践,以将缺陷公开。
