Firma vykonávajúca penetračné testy našla závažné chyby v mobilnej aplikácii pre skupinový sex (¯\_(ツ)_/¯)

3Fun

Zdroj: TechCrunch, Pen Test Partners

Aplikácia sa volá 3Fun (do trojky, chápete?) a tvrdí, že je najlepšia na „nájdenie jednotlivcov a párov s otvorenou mysľou“. Znie to ako popis intelektuálneho knižného klubu, ale je to trochu inak. Podľa jedného z komentujúcich na Google Play je tam veľa fake profilov, prostitútok a profilov, ktoré linkujú inam.

Bezpečnostná firma Pen Test Partners sa pozrela na bezpečnosť aplikácie a čo sa týka súkromia je to absolútna katastrofa. Podľa ich zistení bolo možné zistiť polohu každého používateľa a do istej miery mapovať jeho pohyb. Aplikácia odhaľovala dátum narodenia, sexuálne preferencie a dáta z chatov. Odhalila takisto súkromné fotky napriek nastaveniu, že majú byť súkromné.

Problém bol v tom, že komunikácia medzi aplikáciou a serverom firmy bola nezašifrovaná a rozhranie servera otvorené pre každého. Vďaka tomu bolo možné vidieť v komunikácii presnú polohu používateľov. Používateľ síce mohol zakázať posielanie polohy, ale filtrácia bola vykonávaná na klientovi (facepalm). Programové rozhranie (API) servera bolo otvorené, a tak ste mohli sfalšovať svoju polohu a vidieť polohu a dáta používateľov aplikácie na celom svete.

Vďaka tomu bolo možné vidieť, kto používa aplikáciu v blízkosti armádnych budov, v centrále CIA alebo v sídle amerického prezidenta v Bielom dome. Samozrejme ak vedeli svoju polohu prepísať výskumníci z Pen Test Partners, tak to mohol urobiť ktokoľvek.

Takže si to môžeme zhrnúť. Ak bol niekto reálny používateľ aplikácie, ktokoľvek mohol sledovať jeho polohu, vidieť citlivé údaje z jeho profilu a pozerať sa na jeho privátne fotky. Katastrofa. Údaje tohto druhu sa dajú použiť na vydieranie.

V minulosti sme ešte v našom prvom podcaste hovorili o podobných problémoch zoznamkovej aplikácie Donald Daters, ktorá slúži len pre priaznivcov Donalda Trumpa (sorry, bez komentára). V roku 2015 mala podobné problémy firma Ashley Madison ponúkajúca „aférky“ pre zadaných a zadané. Únik citlivých dát o používateľoch vtedy spôsobil dokonca niekoľko samovrážd a nespočetné množstvo rozpadnutých vzťahov.

A aké je ponaučenie z tohto celého? Ak sa rozhodnete využiť podobné aplikácie, majte na pamäti riziká popísané v článku. Hlavne ženy by si mali rozmyslieť či zveria svoje citlivé informácie do rúk firiem a ich vývojárov (prevažne mužov). Ak mám súdiť podľa toho čo som zatiaľ videl, úroveň ochrany citlivých údajov v tomto type aplikácií je biedna. Majte sa teda bezpečne a nezabúdajte na ochranu :o).

Obrázok: „smiling underneath“ by Bailey Weaver, used under CC BY 2.0

Facebook
Twitter
LinkedIn
Pinterest

ĎALŠIE ČLÁNKY, KTORÉ BY ŤA MOHLI ZAUJÍMAŤ

Cena ITAPA 2022 opäť hľadá najlepšie projekty

Cena ITAPA 2022 opäť hľadá najlepšie projekty v oblasti inovácií, digitalizácie a modernizácie spoločnosti Bratislava 4. októbra 2022 – ITAPA už po 21-krát vyhlasuje prestížnu súťaž Cena…