Ingen kryptering gör det busenkelt att spionera på Tinder

2018-01-24 12:06  
Vem du svajpar höger på är inte så hemligt som man kan tro. Foto: TT / AP Photo / Tsering Topgyal

En amatörmässig säkerhetsmiss gör det enkelt att spionera på Tinder-användare som sitter på samma wifi-nätverk.

Vill du hålla dina ”svajpar” hemliga? Tinder verkar inte överdrivet angelägna det i alla fall.

Dejtingappen sänder delar av datan om vem du matchar med okrypterat, vilket gör det möjligt att spionera på eller manipulera Tinder-användare. Det gäller oavsett om appen körs på Android eller IOS, visar en rapport från den israeliska säkerhetsfirman Checkmarx.

Detta gör det möjligt för personer som är anslutna till samma wifi-nätverk att snoka på vilken data som skickas. Vill de illa kan de också snappa upp datan på vägen och byta ut den. Det skulle till exempel vara möjligt att tillfälligt byta ut din profilbild mot en annan.

I videon nedan kan du se hur Checkmarx säkerhetsforskare demonstrerar en enkel applikation som spionerar på Tinder-användare i samma nätverk.

Problemet kan knappt klassas som ett säkerhetshål. Snarare handlar det om att Tinder inte implementerat grundläggande säkerhetsfunktioner i appen. Bilderna som skickas från telefonen till företagets servrar skickas utan kryptering via protokollet http istället för via det krypterade alternativet https.

Vissa delar av datan skickas visserligen krypterat, men Tinder sköter proceduren slarvigt. Checkmarx har upptäckt att det går att avgöra vad användaren tyckte om en bild genom att kolla på hur stor filen som skickas är. En vänstersvajp, som indikerar att du inte är intresserad av att matchas med personen på bilden, skickas till exempel alltid i en fil på 278 bytes.

Det här betyder inte att en hackare kan ta kontroll över vare sig telefonen eller Tinder-kontot, och alla textmeddelanden krypteras och förblir oläsliga. Men, som säkerhetsfirman poängterar, kan det vara nog av en integritetskränkning att få sina dejtingpreferenser övervakade.

I en kommentar till Wired skriver Tinder att de ”arbetar på att kryptera bilderna i appen” och hänvisar till att de redan gör så i den webbaserade versionen av tjänsten.

Simon Campanello

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Debatt