26/10/2017

Czy aplikacje do randkowania są bezpieczne?

Projekt specjalny Prywatność

Szukanie swojego przeznaczenia w internecie — czy to długofalowej relacji, czy spotkania na jedną noc — zdobywa od jakiegoś czasu coraz większą popularność. Aplikacje do randkowania są już częścią naszej codzienności. Aby znaleźć idealnego partnera, ich użytkownicy są gotowi ujawnić swoje prawdziwe imię, zawód, miejsce pracy, ulubione miejsce i wiele innych informacji. Aplikacje służące do randkowania są często powiernikami dosyć intymnych danych, w tym zdjęć w negliżu. Jak obchodzą się one z danymi wrażliwymi? Kaspersky Lab zdecydował sprawdzić ich zabezpieczenia.

Nasi eksperci przeanalizowali najpopularniejsze mobilne aplikacje służące do randkowania (Tinder, Bumble, OkCupid, Badoo, Mamba, Zoosk, Happn, WeChat, Paktor), aby poznać najważniejsze zagrożenia dla użytkowników. O naszych wynikach poinformowaliśmy zawczasu autorów, dzięki czemu przed opublikowaniem tego tekstu część z nich wyeliminowała luki w swoich produktach. Niektórzy zadeklarowali się poprawić błędy w najbliższej przyszłości. Jednak nie każdy programista obiecał, że załata dziury w swojej aplikacji.

Zagrożenie nr 1. Kim jesteś?

Nasi badacze wykryli, że 4 z 9 aplikacji, które przeanalizowali, umożliwiały potencjalnym przestępcom poznanie, kto ukrywa się za pseudonimem. Wykorzystywane do tego celu były dane publikowane przez samych użytkowników. Na przykład programy Tinder, Happn i Bumble umożliwiały każdej osobie poznanie miejsca pracy czy nauki, które zdefiniował użytkownik. Następnie informacji tych można było użyć do odnalezienia czyjegoś konta w portalach społecznościowych i poznać jego prawdziwe imię i nazwisko. Szczególnie dotyczy to aplikacji Happn, która używa kont w serwisie Facebook do wymiany danych z serwerem. Przy odrobinie wysiłku każdy może poznać imiona i nazwiska użytkowników aplikacji Happn oraz inne informacje z profilu na Facebooku.

Jeśli ktoś przechwyci ruch z urządzenia osobistego, na którym zainstalowana jest aplikacja Paktor, może poznać adresy e-mail innych użytkowników programów.

Okazało się, że można zidentyfikować użytkowników aplikacji Happn i Paktor w innych mediach społecznościowych, z 60% szansą powodzenia dla Tindera i 50% dla aplikacji Bumble.

Zagrożenie nr 2. Gdzie jesteś?

6 na 9 aplikacji oferuje poznanie czyjegoś miejsca pobytu. Jedynie OkCupid, Bumble i Badoo trzymają dane związane z lokalizacją użytkownika pod kluczem. Pozostałe aplikacje wskazują odległość między Tobą a interesującą Cię osobą. Poruszając się i rejestrując dane na temat tej odległości, łatwo jest określić dokładną lokalizację „zdobyczy”.

Happn nie tylko pokazuje liczbę dzielących Was metrów, ale także liczbę przecinania się ścieżek, co dodatkowo ułatwia zadanie śledzenia. W rzeczywistości jest to najważniejsza funkcja tej aplikacji, co było dla nas wręcz niewiarygodne.

Zagrożenie nr 3. Niezabezpieczony transfer danych

Większość aplikacji przesyła dane do serwera kanałem szyfrowanym przy użyciu SSL, choć istnieje też kilka wyjątków.

Jak odkryli nasi badacze, jedną z najmniej zabezpieczonych aplikacji w tym względzie jest Mamba. Moduł analityczny użyty w wersji Android nie szyfruje informacji na temat urządzenia (takich jak model, numer seryjny itp.), tymczasem wersja dla systemu iOS łączy się z serwerem poprzez HTTP i przesyła wszystkie dane w postaci nieszyfrowanej (czyli niechronionej), w tym wiadomości. Dane te nie tylko są widoczne, ale można je również modyfikować.

Mamba to nie jedyna aplikacja, która umożliwia zarządzanie kontem kogoś innego poprzez niezabezpieczone połączenie. Podobna sytuacja dotyczy programu Zoosk, jednak naszym badaczom udało się przechwycić dane jedynie podczas przesyłania przez tę aplikację nowych zdjęć lub filmów. Na szczęście autorzy aplikacji pochylili się nad wskazanym przez nas problemem i szybko go wyeliminowali.

Tinder, Paktor, Bumble dla Androida, a także Badoo dla systemu iOS także przesyłają zdjęcia za pośrednictwem protokołu HTTP, co umożliwia atakującemu uzyskanie informacji, które profile są przeglądane przez potencjalną ofiarę.

Podczas korzystania z aplikacji Paktor, Badoo i Zoosk przeznaczonych dla platformy Android w niepowołane ręce mogą wpaść inne szczegóły — np. dane współrzędne czy informacje o urządzeniu.

Zagrożenie nr 4. Atak man-in-the-middle (MITM)

Niemal wszystkie serwery wykorzystywane przez aplikacje do randek internetowych wykorzystują protokół HTTPS, co oznacza, że sprawdzanie autentyczności certyfikatu może ochronić przed atakami MITM, w których ruch ofiary przechodzi przez fałszywy serwer w dobrej wierze. Badacze zainstalowali fałszywy certyfikat, aby dowiedzieć się, czy aplikacje sprawdzą jego autentyczność (jeśli nie, ułatwiają szpiegowanie czyjegoś ruchu).

Okazało się, że większość aplikacji (5 z 9) jest podatna na ataki MITM, ponieważ nie weryfikują one autentyczności certyfikatów. Niemal wszystkie aplikacje zezwalają na autoryzację przy użyciu Facebooka, więc brak takiej weryfikacji może prowadzić do kradzieży tymczasowego klucza autoryzacji w postaci tokena. Tokeny są ważne przez 2–3 tygodnie, w tym czasie przestępcy mają dostęp do wybranych danych ofiary w mediach społecznościowych, a także pełny dostęp do jej profilu w aplikacji do randkowania.

Zagrożenie nr 5. Uprawnienia superużytkownika

Bez względu na to, jakie dane aplikacja przechowuje na urządzeniu, można uzyskać do nich dostęp, posiadając uprawnienia superużytkwonika. Dotyczy to wyłącznie urządzeń z systemem Android — w systemie iOS szkodliwy program może uzyskać dostęp administratora w sporadycznych okolicznościach.

Wyniki analizy są co najmniej zniechęcające: 8 z 9 aplikacji dla Androida może dostarczać zbyt wiele informacji dla cyberprzestępców posiadających uprawnienia dostępowe na poziomie superużytkownika. Badaczom udało się uzyskać tokeny autoryzacyjne dla mediów społecznościowych w niemal wszystkich badanych aplikacjach. Mimo że dane uwierzytelniające były zaszyfrowane, klucz deszyfrujący można było z łatwością wydobyć z samej aplikacji.

Tinder, Bumble, OkCupid, Badoo, Happn i Paktor przechowują historię komunikacji i zdjęcia użytkowników wraz z ich tokenami. W związku z tym posiadacz uprawnień dostępu na poziomie superużytkownika może z łatwością uzyskać te poufne informacje.

Wniosek

Badanie pokazało, że wiele aplikacji służących do randkowania nie traktuje wrażliwych danych użytkowników z wystarczającą dbałością. To nie powód, aby ich nie używać wcale — wystarczy mieć świadomość tego problemu i tam, gdzie to możliwe, minimalizować zagrożenie.

Działania, które trzeba podjąć:

  • Korzystać z VPN-a.
  • Zainstalować produkty zabezpieczające na wszystkich urządzeniach.
  • Udostępniać tylko te informacje o sobie, które są konieczne.

Czego nie wolno:

  • Udostępniać informacji na temat swoich kont w mediach społecznościowych w profilu aplikacji: prawdziwego imienia, nazwiska, miejsca pracy.
  • Podawać adresu e-mail — ani prywatnego, ani firmowego.
  • Korzystać ze stron służących do randek online poprzez niezabezpieczone sieci Wi-Fi.