«Лаборатория Касперского» проанализировала популярные мобильные сервисы для знакомств в интернете, чтобы узнать, какие риски несут пользователи этих приложений. Некоторые из них почти не защищают личную информацию и не гарантируют защиту данных.

Для анализа эксперты взяли популярные сервисы для знакомств: Tinder, Bumble, OK Cupid, Badoo, Mamba, Zoosk, Happn, WeChat и Paktor. Они рассматривали приложения для Android и iOS. Как выяснилось, злоумышленники могут через эти сервисы без проблем могут найти страницу пользователя в соцсети, электронную почту, перехватить фотографии и даже получить доступ к аккаунту.

Раскрытие личности и преследование

Самое безобидное, что могут сделать злоумышленники — найти профиль человека из сервиса знакомств в соцсети. Выяснилось, что это очень просто. Так, например, в Tinder многие добавляют сведения о работе или образовании — это дает 60% вероятность найти пользователя в соцсети, даже если он использует псевдоним.

Пример профиля в Tinder с местом работы и образованием

В приложении Happn, например, можно найти профиль пользователей Facebook, даже если они не указывали никакую информацию о себе и используют псевдоним. У сервиса есть функция поиска людей, если злоумышленники немного модифицируют поисковой запрос, то можно найти имена и фамилии любого пользователя в Facebook.

Данные с электронной почтой, которые можно украсть через приложение Paktor

А сервис Paktor, например, плохо скрывает электронную почту пользователей. Для кражи информации злоумышленнику достаточно отследить трафик приложения — так можно найти почту любого человека.

 Злоумышленники могут использовать профиль в соцсети, например, для пресследования — так называемого сталкинга.

Отследить человека

Некоторые приложения для позволяют найти местоположение человека из сервиса для знакомств. Например, мессенджер WeChat позволяет посмотреть расстояние до собеседника. А приложение сервиса Happn показывает не только местоположение другого человека, но и сколько раз вы были с ним рядом.

Приложения, показывающие местоположение пользователя

Местоположение пользователя можно использовать для грабежа или слежки — это опасно.

Кража сообщений и доступ к аккаунту

Многие приложения для знакомств совсем или почти не используют защищенный протокол передачи данных с шифрованием. Поэтому если пользователь пользуется общественным интернетом, то злоумышленники могут легко получить доступ ко множеству данных. Например, в сервисе Mamba так можно зайти на аккаунт жертвы и просматривать и писать сообщения от нее. А в приложении Tinder можно перехватить фотографии пользователя.

Специалистам «Лаборатории Касперского» удалось получить доступ к чужому аккаунту Mamba

Также большей части приложений для знакомств на Android можно легко предоставить поддельный сертификат. Для этого достаточно принудить жертву установить сертификат с помощью обмана. И тогда в Tinder можно перехватить токен от Facebook, с помощью которого можно получить временный доступ к аккаунту в соцсети.