Комп’ютерні інженери іспанського походження, Марк Пратлуса та Оріол Мартінес, , які спеціалізуються на комп’ютерній безпеці, знайшлидосить серйозний збій програми для знайомств Tinder Пратлуса та Мартінес, не будучи комп’ютерними хакерами чи чимось подібним, вони зрозуміли, що недолік дизайну програми може дозволити будь-кому з мінімальними знаннями комп’ютерів, розпізнавати широту та довготу людей, з ким ви "підійшли" в додатку.Інженери виявили помилку випадково, перевіряючи інші програми, такі як Wallapop, Facebook або Spotify з професійних причин, і саме тоді вони виявили, щододаток передавав місцезнаходження в координатах, а не у відстані, як це має бути.
Ця програма дуже проста, людина, яка нею користується, ковзає між фотографіями користувачів, які відповідають введеним даним і коли вони комусь подобаються, вони позначають їх, якщо особа, яку вони позначили, відповідає, буде збіг Відповідно до цієї передумови використання інженери виявили, що може визначити точне місцезнаходження людей, з якими вони зіставлялися Помилка залишалася постійною навіть після блокування користувачаІ ми говоримо was, у минулому часі, тому що Інженери Tinder взяли на себе зобов’язання виправити це, не повідомляючи користувачів про помилку , в.о. як ні в чому не бувало.
Але найбільше тривожить те, що ця помилка в додатку не тільки повідомляла про місцезнаходження в той момент, але й вказувала щоразу, коли ми рухалися, що дозволяло іншим користувачам керувати користувачами, ніби це була система геолокації.
Tinder нічого не повідомляв, він лише прокоментував EL PAíS, що «Конфіденційність і безпека наших користувачів є нашим головним пріоритетом. Ми не говоримо про конкретні вразливості, які ми можемо знайти, щоб захистити їх». Але, мабуть, оскільки інженери повідомили про помилку розробникам додатків, на її усунення знадобилось три місяці.
Щоб отримати доступ до цієї інформації, каталонським інженерам просто потрібно було лише встановити проксі-сервер між своїм телефоном і сервером Tinder. За допомогою цього пункту ви можете читати інформацію, яка надсилається на телефон користувача.
Після того, як проксі-сервер було встановлено та помічено збої, вони вирішили створити підроблені профілі для виконання різних тестів, щоб перевірити існування помилки проксі. І справді, помилка існувала, і вони змогли перевірити точне місцезнаходження різних людей, як це видно на попередній фотографії Поки що невідомо, як довго це тривало чи скільки людей змогли використати його зловмисно, хоча ми можемо підтвердити, що минуло три місяці відтоді, як Пратлуса та Мартінес виявили це, і поки Tinder не розв’язав це.
Джерело: EL PAÍS
