Jak się bowiem okazuje, Tinder wciąż nie korzysta z szyfrowanego połączenia HTTPS do wyświetlania zdjęć osób, które oceniamy. Dzięki temu haker wyposażony w specjalnie napisany program jest w stanie przechwycić je i wyświetlić u siebie.
Reszta komunikacji z serwerem jest co prawda w Tinderze szyfrowana, jednak na podstawie wielkości poszczególnych komend program jest w stanie rozpoznać, czy polubiliśmy dane zdjęcie. Wyświetla również pary, a także tzw. „Super Like”.
Badacze z Checkmarx wyjaśniają, że dzięki temu są w stanie rozpoznać praktycznie każdą aktywność na Tinderze. Szyfrowanie nie jest przeszkodą, gdyż poszczególne komendy zawsze posiadają tyle samo bitów. Prywatne pozostają wyłącznie wiadomości i zdjęcia przesłane do użytkowników już po sparowaniu.
Przebywając w tej samej sieci haker jest zatem w stanie dowiedzieć się całkiem sporo rzeczy na nasz temat, w tym naszych preferencji odnośnie innych osób. A to może być podstawą np. do późniejszego szantażowania.
Twórcy Tindera nie widzą jednak problemu. W swoim oświadczeniu wyjaśniają, że nieszyfrowane są wyłącznie zdjęcia profilowe, które i tak mogą być wyświetlone przez każdego użytkownika aplikacji.
Mimo wszystko deweloperzy zapowiadają zmiany. Witryny internetowe serwisu już teraz oferują szyfrowanie zdjęć profilowych. W przyszłości podobna funkcja ma się pojawić w aplikacjach mobilnych, a wtedy powyższy sposób przechwytywania danych nie będzie możliwy.
Źródło: The Verge