מהנדסי מחשבים ממוצא ספרדי, Marc Pratllusá ו-Oriol Martínez, המתמחים באבטחת מחשבים, מצאו כישלון די חמור באפליקציית ההיכרויות Tinder Pratllusá ומרטינז, בלי להיות האקרים מחשבים או משהו כזה, הם הבינו ש- ליקוי עיצוב באפליקציה יכול לאפשר לכל אחד עם ידע מינימלי במחשבים, לזהות באיזה קווי רוחב ואורך הם האנשים איתו "התאמת" באפליקציה.מהנדסים גילו את הבאג במקרה, בזמן שבדקו אפליקציות אחרות כמו Wallapop, Facebook או Spotify מסיבות מקצועיות, ואז גילו ש- האפליקציה שידרה את המיקום בקואורדינטות במקום במרחק כפי שהוא צריך להיות.
הפעולה של אפליקציה זו פשוטה מאוד, האדם שמשתמש בה, מחליק בין תמונות המשתמשים התואמות לנתונים שהוזנו וכשמישהו אוהב אותם, הם מסמנים אותם, אם האדם שסימנו מתאים, יהיה התאמה תחת הנחת היסוד הזו של שימוש, מהנדסים גילה ש- יכול לזהות את המיקום המדויק של האנשים איתם הם התאימו השגיאה הייתה מתמשכת גם לאחר חסום את המשתמשואנחנו אומרים שזה היה בזמן עבר, כי מהנדסי טינדר לקחו על עצמם לתקן את זה, מבלי להודיע למשתמשים על הבאג , לפעול כאילו כלום לא קרה.
אבל הדבר המדאיג ביותר הוא שהבאג הזה באפליקציה לא רק דיווח על המיקום באותו רגע, אלא גם צוין בכל פעם שעברנו, שאפשרה למשתמשים להיות נשלטים על ידי משתמשים אחרים כאילו מדובר במערכת מיקום גיאוגרפי.
Tinder לא דיווח על שום דבר, הוא רק העיר ל-EL PAíS ש"הפרטיות והאבטחה של המשתמשים שלנו הם בראש סדר העדיפויות שלנו. אנחנו לא מדברים על נקודות תורפה ספציפיות שאנו עשויים למצוא כדי להגן עליהן". אבל, ככל הנראה, מאז שהמהנדסים דיווחו על הבאג למפתחי האפליקציה, נדרשו שלושה חודשים כדי לפתור אותו.
כדי לגשת למידע זה, המהנדסים הקטלונים רק היו צריכים להתקין שרת proxy בין הטלפון שלהם לשרת טינדר. עם פריט זה אתה יכול לקרוא את המידע שנשלח לטלפון של המשתמש.
לאחר שהפרוקסי הותקן וצפה בתקלות, הם החליטו ליצור פרופילים מזויפים כדי לבצע בדיקות שונות על מנת לאמת את קיומם של טעות הפרוקסי. ואכן השגיאה הייתה קיימת והם הצליחו לאמת את המיקום המדויק של אנשים שונים כפי שניתן לראות בתמונה הקודמת עוד לא ידוע כמה זמן זה עבר מתרחש או כמה אנשים הצליחו להשתמש בו בזדון, אם כי אנו יכולים לאשר שחלפו שלושה חודשים מאז ש-Pratllusá ומרטינז גילו את זה ועד שטינדר פתרה את זה.
מקור: EL PAÍS
