Firma vykonávajúca penetračné testy našla závažné chyby v mobilnej aplikácii pre skupinový sex (¯\_(ツ)_/¯)

3Fun

Zdroj: TechCrunch, Pen Test Partners

Aplikácia sa volá 3Fun (do trojky, chápete?) a tvrdí, že je najlepšia na „nájdenie jednotlivcov a párov s otvorenou mysľou“. Znie to ako popis intelektuálneho knižného klubu, ale je to trochu inak. Podľa jedného z komentujúcich na Google Play je tam veľa fake profilov, prostitútok a profilov, ktoré linkujú inam.

Bezpečnostná firma Pen Test Partners sa pozrela na bezpečnosť aplikácie a čo sa týka súkromia je to absolútna katastrofa. Podľa ich zistení bolo možné zistiť polohu každého používateľa a do istej miery mapovať jeho pohyb. Aplikácia odhaľovala dátum narodenia, sexuálne preferencie a dáta z chatov. Odhalila takisto súkromné fotky napriek nastaveniu, že majú byť súkromné.

Problém bol v tom, že komunikácia medzi aplikáciou a serverom firmy bola nezašifrovaná a rozhranie servera otvorené pre každého. Vďaka tomu bolo možné vidieť v komunikácii presnú polohu používateľov. Používateľ síce mohol zakázať posielanie polohy, ale filtrácia bola vykonávaná na klientovi (facepalm). Programové rozhranie (API) servera bolo otvorené, a tak ste mohli sfalšovať svoju polohu a vidieť polohu a dáta používateľov aplikácie na celom svete.

Vďaka tomu bolo možné vidieť, kto používa aplikáciu v blízkosti armádnych budov, v centrále CIA alebo v sídle amerického prezidenta v Bielom dome. Samozrejme ak vedeli svoju polohu prepísať výskumníci z Pen Test Partners, tak to mohol urobiť ktokoľvek.

Takže si to môžeme zhrnúť. Ak bol niekto reálny používateľ aplikácie, ktokoľvek mohol sledovať jeho polohu, vidieť citlivé údaje z jeho profilu a pozerať sa na jeho privátne fotky. Katastrofa. Údaje tohto druhu sa dajú použiť na vydieranie.

V minulosti sme ešte v našom prvom podcaste hovorili o podobných problémoch zoznamkovej aplikácie Donald Daters, ktorá slúži len pre priaznivcov Donalda Trumpa (sorry, bez komentára). V roku 2015 mala podobné problémy firma Ashley Madison ponúkajúca „aférky“ pre zadaných a zadané. Únik citlivých dát o používateľoch vtedy spôsobil dokonca niekoľko samovrážd a nespočetné množstvo rozpadnutých vzťahov.

A aké je ponaučenie z tohto celého? Ak sa rozhodnete využiť podobné aplikácie, majte na pamäti riziká popísané v článku. Hlavne ženy by si mali rozmyslieť či zveria svoje citlivé informácie do rúk firiem a ich vývojárov (prevažne mužov). Ak mám súdiť podľa toho čo som zatiaľ videl, úroveň ochrany citlivých údajov v tomto type aplikácií je biedna. Majte sa teda bezpečne a nezabúdajte na ochranu :o).

Obrázok: „smiling underneath“ by Bailey Weaver, used under CC BY 2.0

Facebook
Twitter
LinkedIn
Pinterest

ĎALŠIE ČLÁNKY, KTORÉ BY ŤA MOHLI ZAUJÍMAŤ