Как сохранить приватность в приложениях для знакомств? Уязвимости Tinder, Mamba и Badoo против личной жизни
Популярные приложения для онлайн-знакомств позволяют вам найти вторую половинку, а также раскрывают хакерам, мошенникам и маньякам ваши личные фото, номера телефонов и даже местоположение. Medialeaks выяснил, какие уязвимости есть в Tinder, Badoo, Mamba и Happn, чем они грозят пользователям и как честным романтикам защитить свои персональные данные.
Хочу найти пару. Куда идти?
Топ самых популярных приложений для знакомств в России возглавляют Badoo, Mamba и Tinder. Каждое из них имеет более 100 миллионов скачиваний в Play Маркет и AppStore, а также миллионы комментариев от русскоязычных пользователей. Любители свиданий из России решаются испытывать и другие, менее популярные приложения. Среди них Happn, MyLove, LovePlanet, «ДругВокруг», Tabor, Topface, Wambа, «Фотострана» и прочие.
Для работы с каждым из этих сервисов пользователь должен зарегистрироваться в приложении, создать личный аккаунт, заполнить графы анкеты и загрузить фотографии. Казалось бы, ничего сложного, но только для тех, кто не задумывается о сохранности своих персональных данных.
Ранее эксперты «Лаборатории Касперского» проверили самые популярные приложения для знакомств и узнали, насколько они уязвимы с точки зрения информационной безопасности пользователей. В числе первых подопытных в список вошли сервисы Tinder, Badoo, Mamba и Happn. Скажем прямо: их юзерам есть о чём беспокоиться.
Угроза первая. Вас заметили
Если кто-то захочет узнать ваше местонахождение, большинство сервисов для знакомств предоставят ему такую возможность. Исследователи из «Лаборатории Касперского» обнаружили, что только Badoo хранит данные о местоположении пользователей на закрытых сайтах. Большая часть остальных приложений показывает юзерам расстояние между друг другом, таковы их функции и особенности.
Tinder раскрывает лишь примерное местоположение человека и показывает расстояние до него в километрах, то есть не точно. Однако, передвигаясь и записывая геоданные, незнакомец может легко определить, где именно находится «жертва». Если же вы патологически боитесь сталкеров, лучше не регистрируйтесь в Happn. Сервис не только показывает, сколько метров отделяют вас от другого человека, но и оповещает пользователей, когда их пути пересекаются.
Угроза вторая. Внимание, небезопасное соединение
Большинство приложений передаёт данные на сервер по протоколу SSL. Это наиболее безопасный вид связи, использующий возможности аутентификации и шифрование информации для сохранения конфиденциальности пользователя, но из правил есть исключения.
Один из самых небезопасных сервисов — Mamba. Как пишут эксперты, в 2017 году версия приложения для Android не шифровала данные об устройстве (модель, серийный номер и так далее), а версия для iOS передавала данные по незащищённому протоколу HTTP.
До сих пор компания не объяснила, удалось ли программистам исправить неточность, но специалисты по кибербезопасности отмечают, что за счёт этого третьи лица могли просматривать фото юзеров и сообщения и изменять их содержание. Например, исправить ваш мессседж «Как дела?» и отправить собеседнику «Одолжи мне пять тысяч рублей, пожалуйста».
Tinder для Android и Badoo для iOS используют HTTP только для загрузки фото, но это позволяет хакеру узнать, какие профили просматривает его потенциальная жертва.
Угроза третья. Социальные сети отходят мошенникам
Собственная защита дэйтинг-сервисов бессильна перед таким видом хакерской атаки, как Man In The Middle, или «Человек посередине». С помощью хитрых компьютерных манипуляций взломщик создаёт сервер-двойник, который встаёт на пути ваших данных, пока те передаются на оригинальный сайт. Благодаря этому он может смотреть, слушать и читать любые фото, видео, аудио и текстовые сообщения, которые вы отправляете в приложении. Подробнее о том, что такое MITM, можно узнать здесь.
Как пишет издание SecureList, приложения для знакомств не защищены от такого вторжения, и это плохие новости для юзеров. Так как почти все сервисы требуют от вас регистрации через соцсети, с помощью MITM хакер получает доступ и к вашим страницам там. Встав на пути информации, программист становится обладателем временного ключа для авторизации в вашем аккаунте и на протяжении двух-трёх недель может пользоваться вашим фейсбуком, ВК или инстаграмом как своим собственным.
Угроза четвёртая. Суперхакеру права суперпользователя
Независимо от того, какие данные хранятся на вашем смартфоне, доступ к ним можно получить с правами суперпользователя, или рут-правами. Root — это учётная запись главного администратора в операционной системе Android. С её помощью вы можете изменять и удалять системные файлы, редактировать настройки системы и тому подобное.
Результат работы исследователей показал, что Tinder, Badoo и Happn готовы предоставлять третьим лицам доступ к правам суперпользователя на вашем устройстве. Таким образом через приложения для знакомств эксперты смогли получить ключи авторизации для социальных сетей от всех перечисленных сервисов. Информация об учётных записях была зашифрована, но данные для расшифровки легко извлекались из самих приложений.
Юзерам iOS повезло больше — систему от Apple практически невозможно взломать таким способом, уверяют специалисты.
Угроза пятая. Враг из соседней комнаты
Не стоит забывать, что зачастую интерес к романтическим перепискам простых пользователей возникает у их близких. Ваше присутствие в Tinder может заинтересовать вашу жену или бойфренда настолько, что они решатся установить на ваш смартфон кейлогер.
Это программное обеспечение или устройство, которое будет записывать ваши действия с телефоном или компьютером — от нажатия на клавиши до движений мыши. Так человек узнает ваши логины и пароли, особенно если они входят в топ худших за год.
Другой способ заполучить ваши пароли — обращение непосредственно к хакеру. Предложения подобных услуг можно найти даже во «ВКонтакте» по запросу «помогите взломать».
Вывод краток: большинство приложений для знакомств не обрабатывает конфиденциальные данные пользователей с необходимой тщательностью. Это не повод отказываться от их услуг, но нужно постараться минимизировать риски.
Как защитить мэтчи и свайпы. Шесть правил романтика-спецагента
Есть несколько способов защитить свои персональные данные, фотографии, переписки, а также не раскрыть личность в аккаунте сервиса для знакомств. Первая опасность в работе с дэйтинг-приложениями — они позволяют юзерам синхронизировать свои учётные записи со страницами в социальных сетях (Facebook, Instagram, «ВКонтакте» и даже «Одноклассники»).
Как только сервис получает доступ к вашей анкете на постороннем сайте, у него есть возможность узнать о вас немного больше и добавить подробности в аккаунт для свиданий. Рассказать, где вы живёте, работаете, учитесь, сколько вам лет, и даже подтянуть ваши детские фото.
Подумайте над тем, чтобы отредактировать свою анкету в социальных сетях. Даже если ваше настоящее имя и место учёбы — единственные опубликованные сведения, эту информацию легко использовать, чтобы найти вас на других сайтах. Например, на страницах по поиску работы, где есть ваше резюме и куча подробностей о личной жизни.
Ещё легче найти вас по электронной почте, так что по возможности не публикуйте адрес своего онлайн-ящика. Любой желающий сможет вбить его в Google и увидеть, как вы продаёте ноутбуки на «Авито» или чатитесь на «Ответах Mail.ru».
Во-вторых, никогда не загружайте в приложения и на сайты для знакомств фотографии, которые уже используете в соцсетях. Если снимки будут совпадать, то ссылку на ваш аккаунт постороннему человеку сможет выдать даже поисковик Google.
Не стоит останавливаться на одном уникальном селфи. Помочь хакерам-любителям отыскать ваши страницы способен и новый сервис SearchFace, который работает по технологии распознавания лиц. Любой желающий может загрузить ваше (даже уникальное) фото на этот сайт и найти снимки из социальных сетей.
Обмануть сервис можно при помощи нестандартных фото. Например, попробуйте на снимке для сайта или приложения принять такую позу, чтобы половина вашего лица осталась за кадром, в тени или просто была прикрыта рукой. Так потенциальный партнёр сможет оценить вашу внешность по фото, но не сумеет использовать снимок против вас (проверено на авторе Medialeaks, предложения SearchFace оказались неверными).
В-третьих, до последнего держите в тайне ваш номер телефона. Если разговор в Tinder складывается удачно, то в конце концов пользователи для более близкого общения обмениваются номерами. Это удача и подводный камень, ведь в таком случае собеседник сможет отыскать ваши страницы в социальных сетях, если они привязаны к номеру.
Для этого в мобильном приложении «ВКонтакте» можно использовать функцию «Синхронизировать контакты» социальной сети с телефонной книгой вашего смартфона. Если пользователь регистрировался по номеру, то сервис предложит вам его страницу.
В-четвёртых, не забудьте проверить настройки местоположения. В конце концов вам всё же придётся раскрыть, где вы находитесь, но будет лучше, если процесс станет контролируемым. Отключите функцию отслеживания по GPS в опциях своего смартфона и запретите сайтам и приложениям определять ваш адрес в фоновом режиме.
В-пятых, не стоит скрывать информацию о себе в одном приложении, в то время как все сведения о вас доступны в другом. Использование сразу нескольких сайтов и сервисов для знакомств повышает ваши шансы найти вторую половинку, но ставит под угрозу личную безопасность. Не забывайте контролировать каждую из ваших анкет для свиданий и удостоверьтесь, что все они рассказывают потенциальным партнёрам ровно столько, сколько вы сами считаете нужным.
В-шестых, просто используйте сложные пароли, внимательно следите, не попал ли ваш телефон в руки к другим людям (даже очень близким), и лучше купите дополнительную сим-карту. Если хакер — ваша вторая половинка, скрываться вам придётся как настоящему шпиону.
Только приложение не удаляйте
Представим, что вы начали беспокоиться о своей безопасности в интернете и решаете навсегда попрощаться со страницей в приложении для знакомств. Здесь велика вероятность совершить самую популярную ошибку пользователей: удалить приложение и решить, что ваш аккаунт теперь тоже стёрт из сети. Сразу предупреждаем, это не так и для окончательной деактивации страницы вам понадобится сделать ещё несколько шагов.
Администрация Tinder рекомендует ради безопасности пользователей удалять аккаунты исключительно в приложении. Если вы уже избавились от него, установите снова и нажмите на значок профиля в верхней части главного экрана. Теперь перейдите в «Настройки», прокрутите страницу вниз и нажмите кнопку «Удалить аккаунт».
После появления надписи «Аккаунт успешно удалён» вы можете быть уверены, что страница не продолжает жить самостоятельной жизнью без вашего ведома. Если вы решите вновь воспользоваться Tinder, придётся создавать новый аккаунт.
Схема удаления своего аккаунта на Badoo аналогична способу исчезнуть из Tinder. Отличие лишь одно: приложение позволяет юзерам в течение 30 дней восстановить страницу. Для этого предусмотрительные администраторы сразу после удаления аккаунта вышлют вам на почту письмо со ссылкой на страницу восстановления.
Самое ненадёжное приложение для желающих избавиться от аккаунта — Mamba. Процедура удаления анкеты повторяет схемы аналогичных сервисов, но есть нюанс: в течение шести месяцев у юзера остаётся возможность вернуть страницу. Это удобно для вспыльчивых и импульсивных людей и неприятно для осторожных пользователей, которые не хотят, чтобы их данные полгода пылились на постороннем сервере.
Если вы всё ещё сомневаетесь, что ваши личные данные действительно требуют защиты, к вашим услугам эксперимент от Medialeaks. Редакция провела опыт и на живых примерах показала, как по одному фото в Tinder мы можем узнать и номер вашего телефона, и даже домашний адрес.