Włamanie do Grindr

dodał 21 stycznia 2012 o 21:36 w kategorii Mobilne, Prywatność, Włamania, Wpadki  z tagami:
Włamanie do Grindr

Jak donosi The Sydney Morning Herald, wykryto poważny błąd w gejowskiej aplikacji telefonicznej Grindr, umożliwiający przejęcie konta innego użytkownika. Atak prawdopodobnie był znany od wielu miesięcy i mógł dotknąć 3 milionów użytkowników na całym świecie.

Aplikacja Grindr (oraz jej mniej popularna wersja hetero Blendr) umożliwiają, w oparciu o usługę lokalizacji telefonu, odnalezienie w okolicy osób o podobnych zainteresowaniach. Według relacji gazety, włamywacz odkrył możliwość podszywania się pod innego użytkownika, co oznacza również dostęp do jego prywatnych zdjęć (nierzadko nagich) oraz możliwość prowadzenia rozmów w jego imieniu.

Błędy na etapie projektowania

Według dostępnych informacji głównym problemem aplikacji był błędnie zaprojektowany system uwierzytelniania użytkownika.Według informacji gazety aplikacja, autoryzując użytkownika w serwisie, korzystała z unikatowego hasa przypisanego do konta tego użytkownika. Niestety, ten sam hash był wykorzystywany do identyfikacji użytkowników w trakcie rozmowy i był przesyłany między ich urządzeniami. W celu podszycia się pod innego użytkownika wystarczyło podstawić jego wcześniej poznany hash.

„Dodatkowa” funkcjonalność

14 lipca 2011 powstał serwis www (obecnie wyłączony), który umożliwiał wyszukiwanie użytkowników Grindr’a niezależnie od ich lokalizacji oraz, jak opisuje to gazeta, korzystając z odkrytych błędów oferował usług niedostępne z poziomu aplikacji. W szczególności wyświetlał pseudonimy użytkowników, ich hasła, listy „ulubionych” i pozwalał na podszywanie się pod nich i wysyłanie wiadomości w ich imieniu. Oferował również możliwość podmiany ich zdjęcia profilowego.

Wnioski

Jak zwykle w takich przypadkach sprawdza się powiedzenie, że cokolwiek umieścimy internecie, bez względu na to, jak bardzo ograniczymy dostęp, zawsze może stać się znienacka publiczne. Warto o tym pamiętać. A twórcy aplikacji mobilnych nie powinni stosować mniejszego poziomu zabezpieczeń niż ten w aplikacjach „stacjonarnych”.