European Economic and Social Committee

Le app di incontri online sono sicure?

Affidiamo alle app di incontri online i nostri segreti oltre a intimi. Eppure modo vengono gestite le nostre informazioni?

Accadere alla analisi della propria dolce centro online, giacché tanto verso tutta la cintura ovverosia solitario attraverso una buio, è una finalmente uso solito; le app di incontri online fanno parte della nostra attività quotidiana. In riconoscere il convivente etereo, gli utenti di queste app sono pronti per scoprire il corretto appellativo, affinché sforzo fanno e ove, perché posti frequentano e tante altre informazioni. Sono app che contengono informazioni alquanto personali e a volte di nuovo ritratto senza veli (o pressappoco). Bensì i dati sono gestiti insieme la dovuta accuratezza? Kaspersky Lab ha posto alla prova la loro destrezza.

I nostri esperti hanno studiato le con l’aggiunta di popolari app mobile di incontri online (Tinder, Bumble, OkCupid, Badoo, Mamba, Zoosk, Happn, WeChat, Paktor) e identificato le principali minacce per gli utenti. Abbiamo improntato durante anticipo gli sviluppatori in virtГ№ alle vulnerabilitГ riscontrate, alcune dovrebbero succedere in precedenza state adesso affinchГ© abbiamo pubblicato presente saggio risolte, altre lo saranno nel attiguo futuro. Con qualunque accidente, non tutti gli sviluppatori hanno impegnato di assistere contro tutte.

Avvertimento 1: chi siete?

I nostri ricercatori hanno indifeso affinché quattro delle nove app analizzate consentirebbero per potenziali criminali di inerpicarsi a chi si nasconde posteriore un nickname, utilizzando i dati forniti dagli stessi utenti. Ad caso, Tinder, Happn e Bulmble consentono verso chiunque di vedere se lavora ovverosia studia l’altra uomo, se esposto. Mediante questa notizia, si può aumentare agli account sui social network e trovare il fedele reputazione. Happn, per esclusivo, utilizza gli account Facebook per lo scambio di dati mediante il server. Mediante un microscopico debito, chiunque può reperire popolarità e cognome degli utenti Happn, dunque maniera tante altre informazioni dei profili Facebook.

E nell’eventualitГ che qualcuno intercetta il maneggio da un apparecchiatura riservato contro cui ГЁ installato Paktor, la sorpresa ГЁ perchГ© si possono esprimere gli indirizzi email degli utenti della app.

Nel 100% dei casi ГЁ facile , a muoversi da un fianco Happn oppure Paktor, reperire la uomo durante litigio sugli gente social network; la provvigione scende al 60% a causa di Tinder e al 50% a causa di Bumble.

Avvertimento 2: qualora siete?

Nell’eventualitГ che uno vuole sapere ove vi trovate, sei app su nove potranno concedere una giro. Abbandonato OkCupid, Bumble e Badoo proteggono l’ubicazione dell’utente. Tutte le altre app indicano la diversitГ tra voi e la persona di vostro interesse. Muovendovi un po’ e collegando i dati della tratto reciproca, ГЁ comprensivo cagionare l’esatta ubicazione di chi vi piace.

Happm non abbandonato rassegna quanti metri vi separano da un seguente fruitore, bensì ancora il competenza di volte durante cui le vostre strade si sono incrociate, rendendo il incombenza ora oltre a facile. È di accaduto la razionalità più importante della app, incredibile però fedele.

Avvertimento 3: passaggio non protetto dei dati

La maggior dose delle app trasferisce i dati sul server mediante un onda SSL cifrato; malgrado ciГІ, ci sono alcune eccezioni.

Come hanno esplorato i nostri ricercatori, una delle app meno sicure per tal direzione è Mamba. Il schema di analytics consumato nella testimonianza Android non cifra i dati che riguardano il apparecchiatura (disegno, bravura di raggruppamento etc) e la adattamento iOS si collaboratore al server mediante HTTP e trasferisce tutti i dati non cifrati (quindi non protetti), messaggi compresi. Questi dati non solo sono visibili per tutti però possono capitare modificati. Ad campione, è realizzabile correggere il messaggio “Come va?” in una esigenza di averi.

Mamba non è l’unica app cosicché consente di guidare l’account di qualcun altro riconoscenza verso una allacciamento non protetta; lo in persona vale durante Zoosk. Nondimeno, i nostri ricercatori sono riusciti a arrestare i dati di Zoosk solo dal momento che venivano caricati fotografia e video nuovi: dietro abitare stati avvisati, gli firstmet non accede sviluppatori hanno risolto subito il pensiero.

Anche le versioni Android di Tinder, Paktor e Bumble, e la testimonianza iOS di Badoo caricano le rappresentazione mediante il trattato HTTP, il in quanto consentirebbe a un cybercriminale di rivelare quali profili sta visitando la vittima.

Utilizzando le versioni Androdi di Paktor, Badoo e Zoosk altre informazioni importanti possono cessare nelle mani sbagliate, maniera dati del GPS e info sul apparecchiatura.

Minaccia 4: attacchi Man-In-the-Middle (MITM)

Pressappoco tutti i server delle app di incontri online utilizzano protocolli HTTPS: ciГІ vuol sostenere giacchГ©, verificando l’autenticitГ del atto, ci si puГІ aiutare dagli attacchi Man-In-The-Middle, ringraziamenti ai quali il traffico della danneggiato viene allontanato sopra un server adulterato. I ricercatori hanno installato un certificato adulterato durante trovare nell’eventualitГ che le app ne verificassero l’autenticitГ ; mediante accidente opposto, seguire il transito degli utenti sarebbe prova agevole.

Cinque app contro nove erano vulnerabili ad attacchi MITM, durante quanto non verificavano l’autenticità dei certificati. E ormai tutte le app autorizzavano l’accesso attraverso Facebook, verso cui la difetto di un documento verosimile poteva sostenere al borseggio di chiavi di scatto temporanee. I token sono validi paio ovverosia tre settimane, tempo nel corso di il come i cybercriminali potrebbero vestire scatto ad alcuni dati dei social rete informatica delle vittime, più in là all’accesso carico al fianco sulla app di incontri.

Pericolo 5: accessi da amministratore

Indipendentemente dalla particolaritГ di dati che queste app immagazzinano sul apparecchio, tali dati sono disponibili attraverso chi gode di accessi da governatore. CiГІ riguarda anzitutto i dispositivi Android, ГЁ piuttosto straordinario giacchГ© un malware riesca ad prendere tali accessi sopra iOS.

Il effetto della nostra ricognizione ГЁ anzichГ© avvilente: otto app contro nove, variante Android, forniscono eccessive informazioni ai cybercriminali insieme scatto da responsabile. I ricercatori sono riusciti a acquisire token di scatto verso i social sistema da circa tutte le app in questione. Le credenziali erano cifrate eppure si poteva arrampicarsi facilmente alla centro a causa di decriptarle apertamente dalla app.

Tinder, Bumble, OkCupid, Badoo, Happn e Paktor immagazzinano la successione delle conversazioni e le rappresentazione degli utenti complesso ai token. Chi ha l’accesso da responsabile può prendere comodamente questi dati confidenziali.

Author :
Print

Leave a Reply