top of page

Tinder une faille expose le glissement de l'utilisateur, le jumelage et les photos aux étrangers


Tinder est une application de rencontres en ligne qui a été lancée en 2012 et qui permet aux membres de parcourir des profils pour établir des liens sociaux. Cependant, selon les experts en sécurité de Checkmarx, une société de sécurité basée à Tel Aviv, Tinder a deux failles de sécurité critiques qui exposent chaque coup et correspondance de votre part à des étrangers, y compris les cybercriminels qui utilisent le même réseau sans fil. Les failles ont été identifiées en Novembre l'année dernière et Tinder a été informé à ce moment-là, mais une solution n'a pas encore été publié.

 

La première faille est associée au processus de cryptage entourant la catégorie images; il permet aux pirates d'obtenir des informations sur les photos que vous avez vérifiées. L'autre faille peut exposer les modèles de données pour certaines actions telles que glisser à droite ou à gauche; Grâce à la compréhension de ces modèles, les pirates peuvent facilement comprendre vos intentions. Il est à noter que Tinder est un service de rencontres très populaire qui a réuni plus de 20 milliards de personnes à ce jour et qui est utilisé dans 196 pays. Les chercheurs de Checkmarx pensent qu'un pirate informatique peut facilement prendre le contrôle des images de profil, puis les balayer pour obtenir un contenu inadéquat et effectuer des publicités frauduleuses. La raison pour laquelle le service est confronté à un problème est qu'il n'a pas encore implémenté le cryptage HTTPS. L'application permet de glisser des photos sur HTTP non sécurisé, ce qui permet d'être intercepté par une personne utilisant le même réseau Wi-Fi. Cependant, l'utilisation de HTTPS signifie qu'aucun tiers ne peut lire les messages. Comme la fonction de balayage de Tinder n'a pas de protection HTTPS, les messages sont exposés aux autres. Cela peut conduire à des conséquences désastreuses, par exemple en obtenant des informations sur les préférences sexuelles d'un utilisateur, un pirate informatique peut le faire chanter et menacer de rendre ces informations sensibles publiques.

 

Selon Erez Yalon, responsable de la recherche sur la sécurité des applications chez Checkmarx: «Nous pouvons simuler exactement ce que l'utilisateur voit sur son écran. Vous savez tout: ce qu'ils font, quelles sont leurs préférences sexuelles, beaucoup d'informations. " De plus, le protocole HTTP non protégé permet aux attaquants d'obtenir des données de Tinder en identifiant des modèles d'octets pour diverses actions. Tels que, le balayage gauche représente 278 octets tandis que le balayage à droite représente 374 octets et une correspondance est trouvée à 581 octets. En reconnaissant les modèles de données, les pirates peuvent effectuer toutes sortes d'actions ou interrompre une action en cours. Par exemple, ils peuvent injecter leur propre image dans le flux de photos d'un autre utilisateur. Ils peuvent surveiller toutes vos actions sur Tinder et peuvent également les enregistrer. Celui que vous aimez ou que vous avez l'intention de discuter leur sera connu, ce qui est vraiment dérangeant. Les deux failles produisent ensemble un grave problème de confidentialité pour les utilisateurs de Tinder. Dans leur blog officiel, les chercheurs ont noté: «Les réponses détermineront en fin de compte le nombre d'efforts déployés par des entreprises telles que Tinder, EA et même Uber pour s'assurer que leurs applications sont libres de toute vulnérabilité (ou aussi proche de l'humain que possible). Les chercheurs ont également recommandé aux fabricants d'applications de mettre en œuvre des méthodes de test de sécurité fiables et à jour afin de protéger les données des utilisateurs et la confidentialité. D'un autre côté, ils incitent les utilisateurs à utiliser ces services avec précaution et à ne jamais les utiliser sur les réseaux Wi-Fi publics.

Le logiciel de preuve de concept pour démontrer les vulnérabilités de Tinder a également été construit par les chercheurs de Checkmarx, qui a été surnommé TinderDrift. Lorsqu'il est exécuté sur un ordinateur portable connecté à un réseau sans fil, il recréera automatiquement toute la session et catégorisera les photos comme approuvées, appariées et rejetées en temps réel.

Traduit par Dr.Mo7oG

Source ICI

Posts à l'affiche
Retrouvez-nous
  • Facebook Basic Square
  • Twitter Basic Square
  • Google+ Basic Square
bottom of page