Лазейки в приложении Tinder позволяют следить за пользователями

Лазейки в приложении Tinder позволяют следить за пользователями

Лазейки в приложении Tinder позволяют следить за пользователями

Лазейки в безопасности мобильного приложения Tinder позволяют следить за пользователями. Проблема существует из-за того, что сборки приложения для Android и iOS не могут правильно шифровать сетевой трафик.

Исследователи Checkmarx, обнаружившие два недостатка (CVE-2018-6017, CVE-2018-6018), опубликовали доказательство концепции, согласно которому, находясь в одной сети Wi-Fi с пользователем, можно наблюдать за его действиями, включая просмотры профилей, подсказки и лайки.

Эксперты выложили видео, демонстрирующее наличие проблемы:

Поскольку Tinder, по своей природе, используется в местах массового скопления людей, например, бары и кафе с бесплатным общественным Wi-Fi, эти уязвимости могут быть опасны для большинства пользователей.

Первая проблема, CVE-2018-6017, является результатом использования приложением Tinder небезопасных HTTP-соединений для доступа к изображениям профиля. Отслеживая трафик в общедоступной сети Wi-Fi, злоумышленник может видеть, какие профили просматриваются на устройстве жертвы. Также есть возможность получить информацию профиля жертвы.

Второй недостаток, CVE-2018-6018, позволяет киберпреступнику видеть конкретные действия жертвы, такие как свайпы и лайки. Несмотря на то, что Tinder API использует HTTPS-соединение, определенные действия отдают свои зашифрованные пакеты с установленной длиной.

Проверяя пакеты определенной длины, злоумышленник может связать действия с незащищенным HTTP-профилем. Рекомендация для пользователей достаточно проста: избегайте общественных сетей Wi-Fi, если это возможно. Что касается разработчиков, они должны предпринять шаги для обеспечения безопасности всего трафика приложений.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Срочно обновляем Microsoft Edge — уязвимость в Chromium уже на мушке

Разработчики Microsoft выпустили внеплановое обновление для браузера Edge на основе Chromium. Сборка 138.0.3351.65 содержит патчи для двух опасных уязвимостей; одну из них злоумышленники уже используют в атаках.

Обе проблемы классифицируются как «путаница типов данных» и при эксплуатации позволяют удаленно выполнить любой код в целевой системе.

Уязвимость CVE-2025-6554 обнаружил в JavaScript-движке V8 эксперт Google. Эксплойт осуществляется с помощью специально созданного сайта; в случае успеха автор атаки получает доступ на чтение/запись к произвольным ячейкам памяти.

В связке с другими уязвимостями это может привести к выходу за пределы песочницы, краже данных или выполнению вредоносного кода. Уровень угрозы в Google оценили в 8,1 балла по CVSS (как высокий); патч для Chrome вышел несколько дней назад.

Уязвимость CVE-2025-49713 (8,8 балла CVSS) актуальна лишь для Microsoft Edge. Злоумышленник сможет удаленно выполнить свой код, если ему удастся заставить пользователя открыть вредоносное вложение либо совершить переход по ссылке, присланной по имейл или в мессенджере.

Успешный эксплойт позволяет внедрить в систему зловреда, украсть учетные данные, а также развить атаку в корпоративной сети.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru