พบช่องโหว่บนแอปหาคู่ยอดฮิต ‘Tinder’ ถูกสอดแนมได้

นักวิจัยจาก Checkmarx บริษัทวิเคราะห์ความมั่นคงปลอดภัยของโค้ดได้พบช่องโหว่บนแอปพลิเคชัน Tinder ซึ่งทำให้ผู้โจมตีสามารเข้าไปแอบดูการใช้งานของเหยื่อและแก้ไขเปลี่ยนแปลงเนื้อหา สอดแนมความเป็นส่วนตัวได้ เช่น ดูโปรไฟล์ของผู้ใช้งาน ดูรูปของผู้ใช้และค้นหาว่าผู้ใช้กำลังใช้งานอย่างไร กดถูกใจหรือไม่ถูกใจ หากผู้โจมตีอยู่ภายในเครือข่ายไร้สายเดียวกันกับเหยื่อ

Transformmagazine.net

หัวใจสำคัญของช่องโหว่นี้อยู่ที่ Tinder บน iOS หรือ Android ใช้การดาวน์โหลดรูปโปรไฟล์ผ่าน HTTP ซึ่งเป็นการเชื่อมต่อที่ไม่ปลอดภัย (ไม่มีการเข้ารหัส) โดยผู้โจมตีสามารถทราบได้ง่ายๆ ว่าอุปกรณ์ไหนกำลังดูโปรไฟล์ไหน นอกจากนี้หากเหยื่อใช้งานแอปพลิเคชันนานพอหรือเริ่มต้นใช้งานแอปพลิเคชันผ่านทางเครือข่ายที่มีช่องโหว่ผู้โจมตีสามารถระบุและสำรวจโปรไฟล์ของผู้ใช้ได้ นักวิจัยอ้างว่าช่องโหว่ที่ค้นพบนั้นจะทำให้แฮ็กเกอร์สามารถดักจับและแก้ไขทราฟฟิค เช่น สามารถสับเปลี่ยนรูปโปรไฟล์อีกฝ่ายที่เหยื่อมองเห็นไปเป็นโฆษณาปลอมและเนื้อหาอันตรายอื่นๆ ได้

Checkmarx ได้แนะนำให้ Tinder เปลี่ยนไปใช้งานทราฟฟิคบน HTTPS ถึงว่ามันอาจจะกระทบกับความเร็วในการใช้งานแต่มันก็จำเป็นต่อความเป็นส่วนตัวและความอ่อนไหวของข้อมูล นอกเหนือจากปัญหาการใช้งาน HTTP แล้วนักวิจัยยังพบส่วนที่เป็นปัญหาจากการใช้งาน HTTPS ของแอปพลิเคชันซึ่งทำให้ผู้โจมตีสามารถคาดเดาขนาดของ Packet ที่ใช้งาน HTTPS ได้ “เมื่อวิเคราะห์ทราฟฟิคที่มาจากผู้ใช้งานไปยัง เซิร์ฟเวอร์ API และความสัมพันธ์ร่วมกันกับการร้องขอรูปผ่านทาง HTTP มันเป็นไปได้ว่าผู้โจมตีไม่เพียงแต่ทราบว่ารูปไหนที่เหยื่อกำลังดูอยู่แต่ยังรวมไปถึงว่าเหยื่อกำลังทำอะไร ทั้งหมดนี้สามารถตรวจสอบเพื่อคาดเดากิจกรรมของเหยื่อได้จากขนาดของเนื้อหาที่ตอบสนองกับเซิร์ฟเวอร์ API ที่ทำการเข้ารหัส“–นักวิจัยกล่าว

ตัวอย่างของการคาดเดาพฤติกรรมเช่น เมื่อกดถูกใจเซิร์ฟเวอร์จะส่งการตอบสนองที่เข้ารหัสมา 278 ไบต์ ถ้ากดผ่านจะส่งข้อมูลกลับมา 374 ไบต์เป็นต้น นักวิจัยกล่าวว่าการตอบสนองในการใช้งานไม่ควรถูกคาดเดาได้จึงมีคำแนะนำว่าควรใช้การ Padding (เติม 0 หรือ 1 ให้เต็มเท่าขนาดที่กำหนด) เพื่อช่วยให้ Packet มีขนาดเท่ากันในทุกคำสั่งดังนั้นผู้โจมตีจะไม่สามารถแยกความแตกต่างออกได้ ยังไม่เป็นที่แน่ชัดว่ามีการใช้ช่องโหว่นี้หรือยังแต่ช่องทางนี้อาจจะให้ผู้โจมตีนำไปใช้ Blackmail หรือข่มขู่ผู้ใช้งานได้ นอกเหนือจากรุกล้ำความเป็นส่วนตัว

ที่มา : https://threatpost.com/app-flaws-allow-snoops-to-spy-on-tinder-users-researchers-say/129625/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

TechTalkThai คว้ารางวัลในงาน Prime Minister Awards: Thailand Cybersecurity Excellence Award 2022

บริษัทเทคทอล์กไทยกรุ๊ป จำกัด (TechTalkThai) โดยคุณสุธีร์ กิจเจริญการกุล ผู้ร่วมก่อตั้งและประธานบริษัทฯ ได้รับเกียรติเข้ารับมอบโล่รางวัลดีเด่น ในฐานะหน่วยงานให้การสนับสนุนการดำเนินการด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศดีเด่น Cybersecurity Excellence Award (Supporting) ภายในงาน Prime Minister …

Tanium ร่วมกับ Microsoft Intelligent Security Association เพื่อเสริมความแข็งแกร่งให้กับความปลอดภัยด้านไอที

Microsoft และ Tanium จะเปลี่ยนอนาคตของการรักษาความปลอดภัยและการดำเนินงานด้านไอทีสำหรับองค์กร