Masowe naruszenie prywatności w niszowych aplikacjach randkowych ujawnia poufne zdjęcia użytkowników
W ramach zakrojonego na szeroką skalę dochodzenia w sprawie luk bezpieczeństwa w aplikacjach na iOS, Cybernews odkrył rażące błędy, które mogły doprowadzić do masowego wycieku prywatnych zdjęć z wielu niszowych aplikacji randkowych, wszystkie z jednego M.A.D. Mobile. Zdjęcia te pochodziły nie tylko z publicznych profili i postów, ale także z czatów użytkowników, a nawet zawierały te usunięte przez moderatorów. Nie trzeba dodawać, że wiele z tych zdjęć miało charakter jednoznacznie seksualny.
Problem dotyczył pięciu aplikacji M.A.D. Mobile - BDSM People, luksusowej aplikacji randkowej Chica oraz aplikacji LGBT Pink, Brish i Translovefound. Wszystkie te aplikacje nie tylko korzystały z identycznej architektury, ale także pozostawiły krytyczne dane uwierzytelniające jako zwykły tekst w kodzie aplikacji. To właśnie te tajne klucze doprowadziły badaczy do wiader Google Cloud Storage, w których znajdowały się zdjęcia bez żadnego rodzaju szyfrowania lub ochrony hasłem. Oznaczało to, że każdy, kto posiadał adres URL - który został publicznie ujawniony - mógł uzyskać dostęp do mediów.
Oczywiście za każdym razem, gdy prywatne zdjęcia są potencjalnie dostępne dla złośliwym podmiotomistnieje ryzyko nękania, wymuszeń i utraty reputacji. Jednak konsekwencje naruszenia prywatności w przypadku użytkowników specjalistycznych aplikacji randkowych byłyby one prawdopodobnie znacznie gorsze, zwłaszcza że homoseksualność jest nielegalna w wielu krajach.
Skala wycieku jest oszałamiająca - ponad 1,5 miliona zdjęć przesłanych przez użytkowników, czyli kilkaset gigabajtów danych. To niewielka łaska, że ujawnione dane nie zawierały tożsamości użytkowników, nazw użytkowników, e-maili ani wiadomości, ale proste odwrotne wyszukiwanie obrazów może z łatwością to obejść. Warto zauważyć, że wszystkie pięć aplikacji jest dostępnych wyłącznie na iOS, bez Android lub wersji internetowych.
Badacze z Cybernews po raz pierwszy skontaktowali się z M.A.D. Mobile w styczniu, ale wyciek pozostał bez odpowiedzi. W obawie przed dalszą bezczynnością ze strony firmy i wbrew własnym standardowym praktykom, Cybernews zdecydował się opublikować raport https://cybernews.com/security/ios-dating-apps-leak-private-photos/ o problemie, zanim został on naprawiony. Dopiero po tym, jak BBC wysłało e-mail do firmy przedstawiciel firmy odpowiedział, że problem został naprawiony, dziękując jednocześnie badaczom za pomoc.
Ten incydent tylko podkreśla to, co wielu w dziedzinie cyberbezpieczeństwa już wie: aplikacje innych firm na iOS są w żaden sposób nie są z natury bezpieczne przed naruszeniami danych. W rzeczywistości dochodzenie Cybernews przyniosło niepokojące spostrzeżenia. Spośród 156 000 zbadanych aplikacji (lub 8% wszystkich aplikacji w sklepie Apple ), 71% aplikacji ujawniło co najmniej jeden sekret. Przeciętny kod aplikacji ujawniał 5,2 sekretu.
Największym wnioskiem z tego incydentu jest to, że użytkownicy powinni całkowicie unikać korzystania z aplikacji od nieznanych wydawców, zwłaszcza gdy w grę wchodzą bardzo wrażliwe informacje. W szczególności, wrażliwe media powinny być udostępniane wyłącznie na szyfrowanych platformach i usługach, które oferują nie tylko pewien stopień ochrony, ale także publiczną odpowiedzialność.
