Khám phá cách nhập tài khoản Tinder của các liên hệ của bạn

Nếu bạn là người dùng ứng dụng hẹn hò Tinder, tài khoản của bạn có thể đã bị tấn công do lỗi bảo mật, may mắn thay, lỗi này đã được khắc phục thông qua một bản vá. Chỉ cần có số điện thoại của người dùng Tinder, tội phạm mạng có thể có quyền truy cập vào danh bạ của người dùng đó Một lỗ hổng bảo mật được tìm thấy giữa mạng xã hội Tinder Facebook và Facebook API, mà Tinder sử dụng để người dùng có thể đăng nhập vào tài khoản của họ và kết nối hai ứng dụng.

https://www.youtube.com/watch?v=tIAxmZt1joY

Hệ thống đăng nhập trong ứng dụng Tinder không xác minh chính xác xem các quyền do Facebook cấp có khớp chính xác với dữ liệu của người dùng mà họ thuộc về hay không, vì vậy với bất kỳ 'mã thông báo' hoặc 'quyền' nào nhận được hợp lệ có thể được thực hiện với bất kỳ tài khoản Tinder nào. Lỗ hổng nghiêm trọng này được trang tin công nghệ The Verge đưa tin đã được Appsecure phát hiện. Nhờ phát hiện này, công ty chuyên về bảo mật ứng dụng di động đã được Facebook thưởng 5,00 euro.

Đây không phải là lần đầu tiên Tinder gặp sự cố bảo mật trong ứng dụng di động của mình. Vào cuối tháng trước, chúng tôi đã báo cáo rằng do một lỗ hổng bảo mật mới, bất kỳ ai cũng có thể có quyền truy cập vào 'đối tượng phù hợp' của bạn, tức là với những người mà bạn đã trùng hợp bằng cách thể hiện tình yêu.Khi một người dùng 'loại bỏ' người dùng khác, máy chủ sẽ gửi gói dữ liệu được mã hóa 278 byte. Tuy nhiên, khi chấp nhận một ứng cử viên trên Tinder, gói tin đó sẽ có kích thước 374 byte. Và điều gì xảy ra khi cả hai đều trùng hợp? Kích thước của gói đó là 581 byte. Ít nhất là thông tin được mã hóa: với kích thước của gói, bạn có thể biết liệu có khớp hay không.

Về tình huống vi phạm bảo mật gần đây nhất, cả Tinder và Facebook đều đã thực hiện hành động về vấn đề này, nên tình huống đã được giải quyết một cách hài lòng.