15 ψεύτικες Google Play εφαρμογές εξαπάτησαν Android χρήστες
infosec

15 ψεύτικες Google Play εφαρμογές εξαπάτησαν Android χρήστες

Νωρίτερα αυτόν τον μήνα, η Google απομάκρυνε 85 κακόβουλες εφαρμογές από το Google Play Store. Ειδικότερα, μία παράνομη adware εφαρμογή...
Read More
infosec

Facebook «10 Year Challenge»: Κινδυνεύουν πράγματι τα δεδομένα σας;

Το τελευταίο διάστημα όλοι παρατηρήσαμε το νέο trend «10-Year Challenge» σε Facebook και Instagram. Αφού έγινε η νέα τάση ανάμεσα...
Read More
infosec

Το Malwarebytes έλυσε το σφάλμα «freezing» των συσκευών Windows 7

Η ομάδα του Malwarebytes επιτέλους έδωσε λύση στο σφάλμα που προκαλούσε πάγωμα σε συσκευές Windows 7! Το πρόβλημα εντοπίστηκε νωρίτερα...
Read More
infosec

Κορυφαίες Android VPN εφαρμογές διαρρέουν προσωπικά δεδομένα

Σύμφωνα με μία νέα μελέτη από VPN αξιολογητές, πάνω από 25% των 150 πιο δημοφιλών και δωρεάν VPNs στο Google...
Read More
infosec

Το Megabreach των 773 εκατομμυρίων Passwords ξεκίνησε χρόνια πριν

Πρόσφατα κυκλοφόρησε η είδηση, ότι σχεδόν 773 εκατομμύρια διευθύνσεις ηλεκτρονικού ταχυδρομείου και 21 εκατομμύρια passwords δημοσιεύθηκαν σε ένα φόρουμ hacking....
Read More
Latest Posts

Tantan: Ο κλώνος του Tinder αποκαλύπτει προσωπικά σας δεδομένα

tantanΤο Tantan, o κινέζικος κλώνος του Tinder δεν χρησιμοποιεί  HTTPS για την κρυπτογράφηση του traffic και εκθέτεθ σχεδόν όλες(!) τις προσωπικές πληροφορίες των χρηστών του, όπως αναφέρθηκε από τον Larry Salibra, ιδρυτή και CEO της Pay4Bugs, μιας δοκιμαστικής πλατφόρμας crowd-sourced pay-per-bug software.

Ο Salibra, ανέλυσε την εφαρμογή κεντρισμένος από την ομοιότητά της με το δημοφιλές Tinder, αλλά και απ’ τις εφαρμογές UI  και UX, οι οποίες είναι κατά πολύ ανώτερες συγκριτικά με το interface του Tinder. Ψάχνοντας εάν το backend της εφαρμογής ήταν καθαρό και καλοφτιαγμένο όπως και το «περιτύλιγμα», συνέδεσε το iPhone τους με τον υπολογιστή και χρησιμοποιώντας Xcode, έριξε μια ματιά στο τί συμβαίνει «κάτω απ’ την κουκούλα».

Παραδόξως, το πρώτο που πρόσεξε ήταν μια πληθώρα από debug messages που διασκορπίστηκαν προς τηνκονσόλα του Xcode. Αυτά τα μηνύματα συνήθως κρύβονται από τις υπόλοιπες εφαρμογές για να αποφευχθούν ακούσιες διαρροές δεδομένων με προσωπικές πληροφορίες των χρηστών.

Συνδεόμενος με το router του σπιτιού του και τρέχοντας μια βασική TCP dump command, το αμέσως επόμενο πράγμα που παρατήρεσε ήταν μια απόλυτη έλλειψη κρυπτογράφησης για τις επικοινωνίες εφαρμογής-server.

Στην συνέχεια διαπίστωσε ότι το password του εστάλη σε cleartext μαζί με ένα σωρό άλλες πληροφορίες μέσω ενός απροστάτευτου καναλιού. Μετά απ’ αυτή την αλληλεπίδραση με την εφαρμογή, η «έρευνα» του αποκάλυψε ότι το Tantan αποκαλύπτει σχεδόν τα πάντα για τους χρήστες του, στέλνοντας τα δεδομένα μέσω unprotected HTTP channels που μπορεί πολύ εύκολα να υποκλαπούν, να καταγραφούν και να κλαπούν.

Oι πληροφορίες που αποκαλύπτονται συμπεριλαμβάνουν το πραγματικό όνομα του χρήστη το password, τις προτιμήσεις του στο dating, τον σεξουαλικό του προσανατολισμό, ενδιαφέροντα, hobbies, chat messages, καθώς και την τοποθεσία του.

Η ελαττωματική privacy του Tantan δεν σταματά όμως εδώ, δεν βάζει σε ρίσκο μόνο τον χρήστη, αλλά οι κακόβουλοι φορείς θα είναι σε θέση να ανιχνεύσουν εύκολα την τοποθεσία και των υπολοίπων απλώς μέσω αυτών που ταιριάζουν μαζί τους (matching).

Για κάθε match το Tantan αποκαλύπτει επίσης την απόσταση στο matched person, ένας χρήστης θα χρειαζόταν μόνο να λάβει την απόσταση για έναν απ’ τους στόχους του από τρία διαφορετικά σημεία. Ο επιτιθέμενος μπορεί να χρησιμοποιήσει τις 3 αυτές διαφορετικές γεωγραφικές συντεταγμένες, και να βρει την ακριβή τοποθεσία στην οποία βρίσκεται το «ταίρι» του με και να «πέσει» μάλιστα αρκετά κοντά. Και ιδού ενας εξαιρετικά απλός τρόπος να κατασκοπεύσεις το αντικείμενο του πόθου σου…

Ο κ. Salibra έκανε όλες αυτές τις ανακαλύψεις τον Μάρτιο του 2015. Ήρθε έπειτα σε επαφή με τον κατασκευαστή του app, αλλά μετά από αμέτρητα αναπάντητα  e-mails, αποφάσισε να θέσει το ζήτημα δημόσια. Μετά την δημοσίευση της έρευνα, ο CEO και συνιδρυτής του Tantan, Yu Wang, επικοινώνησε μαζί του και υποσχέθηκε ότι θα διορθώσει κάποια απ’ τα ζητήματα ασφαλείας της εφαρμογής στις επόμενες εκδόσεις.

Έχετε άποψη; Αφήστε το σχόλιό σας.

Ο συντάκτης σας επιτρέπει να αντιγράψετε το κείμενό του, μόνο εφόσον αναφέρετε την πηγή (SecNews.gr), σαν ηλεκτρονική διεύθυνση (Live URL) του άρθρου.
Updated on by

Reader Interactions

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *