Cercetătorii Kaspersky Lab au descoperit o serie de vulnerabilități în aplicații populare de dating, care au potențialul să le creeze neplăceri utilizatorilor: de la simpla identificare a unei anumite persoane, la transmiterea nesecurizată de date și scurgeri de informații personale. După analizarea a 9 servicii globale cunoscute, a reieșit că unele dintre ele au un nivel foarte scăzut de protecție a datelor.
Aplicațiile de dating devin din ce în ce mai populare în întreaga lume. Conform ultimului raport ”Legături periculoase: toată lumea procedează astfel în mediul online?”, o persoană din trei folosește un serviciu de dating online. Dar, odată cu popularitatea în creștere a acestor servicii, apare o importantă problemă de securitate, din moment ce majoritatea serviciilor le cer utilizatorilor să comunice informații personale. Astfel, o echipă de cercetători de la Kaspersky Lab a decis să examineze cât de sigure sunt ele, de fapt. Experții au efectuat o analiză detaliată a celor mai populare aplicații de dating din diferite regiuni din lume, căutând diverse vulnerabilități care ar putea afecta viața reală a utilizatorilor și schimba statutul lor de la ”persoane disponibile” la ”victime”.
Această cercetare a scos în evidență faptul că utilizatorii se confruntă cu numeroase riscuri atunci când folosesc aplicațiile de dating online. De exemplu, ei pot fi identificați prin aflarea numelor și prenumelor din profilurile de pe rețelele de socializare și pot fi găsiți, în lumea reală, cu ajutorul serviciilor de localizare. În plus, pot să piardă accesul la conturi sau există riscul ca datele lor personale să ajungă la persoane rău intenționate.
Experții noștri au descoperit un risc de securitate prezent în mai multe aplicații, care are legătură cu metoda de autentificare bazată pe token, folosită de aplicațiile de dating pentru înregistrări noi și logare. Un token este creat la cerere de un server pentru a identifica în mod unic utilizatorul și, de obicei, solicită acces la contul de Facebook. Apoi, dă acces la informațiile generale ale utilizatorului, printre care se numără numele complet, adresa de e-mail și fotografia de profil. Prin folosirea acestei metode, aplicațiile primesc toate informațiile necesare pentru a permite autentificarea utilizatorului pe serverele lor. Totuși, conform cercetării, token-urile sunt adesea stocate sau folosite în mod nesecurizat și, prin urmare, pot fi furate cu ușurință. Astfel, atacatorii reușesc să obțină accesul temporar la conturile victimelor, chiar și fără să dețină detaliile procesului de logare.
În urma acestei vulnerabilități bazate pe stocarea nesecurizată a token-ului, utilizatorii pot să se confrunte cu o altă amenințare, legată de arhiva de mesaje stocate pe dispozitiv, care poate fi accesată și citită de către atacatori. Asemenea atacuri sunt o amenințare și mai mare pentru utilizatorii de dispozitive Android. Unele dintre ele rulează cu software-uri învechite și au vulnerabilități nerezolvate, care le permit atacatorilor să obțină acces total asupra dispozitivului, prin “root”. Cu ajutorul acestuia, pot avea acces la informații private, inclusiv la acelea despre activitatea din aplicațiile de dating, precum mesajele trimise și fotografiile vizualizate.
În plus, utilizatorii a 6 dintre aplicațiile analizate pot fi localizați. În unele dintre aplicații, Kaspersky Lab a identificat, de asemenea, riscuri în procesul de transmitere a datelor. Deși cele mai multe dintre aplicații folosesc SSL (Secure Sockets Layer) pentru securizarea comunicării cu serverele, anumite date sunt trimise prin protocolul HTTP și nu sunt criptate. Acestea le oferă hackerilor posibilitatea de interceptare a comunicărilor care conțin, adesea, informații personale precum localizarea utilizatorului, profilurile vizitate, mesajele, informații despre dispozitiv etc. Prin folosirea unei conexiuni nesecurizate, intrușii pot să câștige controlul asupra contului victimei.
”Cercetarea noastră arată că utilizatorii de aplicații de dating ar trebui să fie foarte atenți la securitatea cibernetică pentru că multe dintre aceste servicii nu sunt protejate împotriva diferitelor tipuri de atacuri”, spune Roman Unuchek, security expert la Kaspersky Lab. “Pe lângă acest lucru, utilizatorii se expun riscurilor prin publicarea de informații personale pe profilurile lor, de exemplu unde au studiat sau unde muncesc. Având aceste informații, atacatorii pot să găsească cu ușurință conturile reale ale victimelor, de pe Facebook sau LinkedIn. De asemenea, acest lucru face posibilă hărțuirea victimelor în viața reală. Așadar, utilizatorii trebuie să fie siguri că își monitorizează atent viața privată, gradul de siguranță și de protecție a datelor atunci când apelează la dating online.”
Pentru prevenirea furtului de date, Kaspersky Lab recomandă următoarele:
• Evitați rețelele Wi-Fi publice, care oferă o protecție limitată;
• Folosiți un VPN pentru conexiuni sigure;
• Nu comunicați informații private precum educația, locul de muncă, etc.
• Instalați o soluție de securitate eficientă pe dispozitiv, precum Kaspersky Internet Security for Android.