Selon Kaspersky Lab, les applications de rencontres populaires sont vulnérables à trois types d’attaques

Par

le

Selon une nouvelle étude de Kaspersky Lab, plusieurs applications populaires de rencontres en ligne sont vulnérables aux attaques.

Les chercheurs en sécurité de Kaspersky Lab affirment qu’un certain nombre d’applications de rencontres populaires sont vulnérables à trois types d’attaques, révélant potentiellement diverses informations, de la localisation de l’utilisateur à l’identité complète et même son employeur.

La première approche testée était de voir si les données que les utilisateurs avaient choisi de partager dans l’application pouvaient être croisées avec les réseaux sociaux pour identifier les personnes. Ils ont trouvé que l’information la plus sensible à révéler était votre travail et votre scolarité.

« Dans Tinder, Happn et Bumble, les utilisateurs peuvent ajouter des informations sur leur travail et leur scolarité. En utilisant ces informations, nous avons réussi dans 60% des cas à identifier les pages des utilisateurs sur divers réseaux sociaux, y compris Facebook et LinkedIn, ainsi que leurs noms et prénoms. »

La deuxième était le suivi de l’emplacement. Toute application qui montre la distance entre un attaquant et un membre du site de rencontres peut être utilisée pour trianguler leur emplacement.

En théorie, ce serait difficile à faire car vous auriez besoin de vous déplacer beaucoup pendant que votre cible resterait à un endroit, et les distances vagues utilisées par certains services signifieraient que beaucoup plus de mesures seraient nécessaires. Mais Kaspersky a trouvé un moyen simple de contourner cela.

Les services eux-mêmes simplifient la tâche: un attaquant peut rester à un endroit, tout en alimentant de fausses coordonnées vers un service, chaque fois qu’il reçoit des données sur la distance jusqu’au propriétaire du profil.

Enfin, ils ont constaté qu’un certain nombre de services ne cryptent pas toutes les communications. Profiter de ce fait nécessiterait une attaque de l’homme du milieu, où les hackers créent une fausse version d’un hotspot WiFi public et ensuite analyse le trafic, mais cela n’est pas rare.

Badoo, par exemple, n’utilise pas le HTTPS pour les photos. En examinant les photos consultées, il serait possible de déterminer quels profils ont été visionnés. Mamba était encore pire, en n’utilisant pas du tout le HTTPS, permettant ainsi à toutes les données d’être capturées, y compris les identifiants de connexion.

Les risques réels de ces failles semblent relativement faibles, mais quelques-uns méritent d’être notés. Si vous voulez qu’un profil reste anonyme, il est préférable de rester assez vague au sujet de votre travail et de votre parcours scolaire.

De même, ce n’est jamais une bonne idée de se connecter à un service sensible, que ce soit un site de rencontres ou de banque en ligne, depuis un hotspot public. Désactiver le WiFi et se connecter via les données mobiles est l’approche la plus sûre.

dating-app-security


Articles recommandés