Một lỗ hổng trên Tinder cho phép tin tặc biết được sở thích thầm kín của người dùng
Tinder là một ứng dụng hẹn hò trực tuyến được phát triển từ năm 2012 cho phép thành viên vuốt qua các hình ảnh, thông tin tiểu sử để tạo kết nối trò chuyện với nhau. Tuy nhiên, chuyên gia bảo mật tại Checkmarx mới đây đã phát hiện ra hai lỗ hổng bảo mật nghiêm trọng cho phép tin tặc có thể trích xuất được thông tin về bất cứ lần vuốt của người dùng tinder nếu trong cùng một mạng. Những lỗ hổng này được xác định và thông báo cho Tinder vào tháng 11 tuy nhiên họ vẫn chưa có giải pháp nào được đưa
Lỗ hổng đầu tiên liên quan đến quá trình mã hóa ảnh; lỗ hổng cho phép tin tặc trích xuất được thông tin về ảnh của bạn kiểm tra. Lỗ hổng thứ hai cho phép tin tặc trích xuất thông tin về hành động của bạn đối với ảnh đó như vuốt sang trái hoặc sang phải. Thông qua việc hiểu rõ cơ chế hoạt động của mô hình này, tin tặc có thể dễ dàng hiểu được ý định của bạn. Chúng ta cần lưu ý rằng Tinder là một dịch vụ hẹn hò rất phổ biến và đã kết hợp được với hơn 20 tỷ người đến từ 196 quốc gia.
Checkmarx cho biết tin tặc có thể dễ dàng kiểm soát những hình ảnh mà bạn nhìn thấy từ đó thay đổi chúng thành các nội dung quảng cáo không phù hợp. Nguyên nhân chính dẫn tới vấn đề này là do Tinder không sử dụng mã hóa HTTPS, thay vào đó ứng dụng vẫn đang sử dụng giao thức HTTP không an toàn và dễ dàng bị chăn bởi một người dùng cùng mạng Wi-Fi.
HTTPS là giao thức bảo mật cho phép trao đổi thông tin một cách bảo mật trên internet mà không sợ bên thứ ba nào đó đọc được tin nhắn. Chính vì tính năng “vuốt” của Tinder không sử dụng mã hóa HTTPS cho nên thông tin này có thể được đọc bởi người khác trong cùng mạng LAN. Đây là một lỗ hổng nghiêm trọng có thể dẫn đến hậu quả nghiêm trọng khi những thông tin tin tặc thu thập được liên quan đặc biệt đến sở thích tình dục của người dùng và tin tặc có thể sử dụng nó để đe dọa tống tiền hoặc lừa đảo.
Nguyên văn của Erez Yalon, quản lý bảo mật ứng dụng của Checkmarx cho biết: “Chúng tôi có thể giả lập chính xác những gì mà người dùng nhìn thấy trên màn hình của họ. Từ đó, bạn có thể biết được chính xác hành động của người dùng như vuốt sang trái hay vuốt sang phải, sở thích tình dục của họ”.
Dưới đây là video chứng minh chuyên gia bảo mật đã đánh cắp được thông tin của người dùng như thế nào:
Video demo khai thác lỗ hổng trên tinder
Theo HackRead
NỔI BẬT TRANG CHỦ
CEO Nvidia nuối tiếc vì từ chối khoản vay của tỷ phú Masayoshi Son để tự thâu tóm chính công ty mình
Masayoshi Son, tỷ phú Nhật Bản và nhà sáng lập Softbank, từng đề nghị giúp Huang mua lại Nvidia.
Giá Bitcoin lên cao nhất từ trước đến nay, tổng thống một quốc gia hào hứng thông báo: "Tôi đã nói rồi mà"