image

UvA-studenten vinden lekken in dating-app Grindr

donderdag 24 oktober 2013, 16:53 door Redactie, 0 reacties

Studenten van de Master-opleiding System and Network Engineering (SNE) van de Universiteit van Amsterdam (UvA) hebben verschillende beveiligingslekken in de dating-app Grindr ontdekt, waardoor het mogelijk was om alle 4 miljoen gebruikers te identificeren en te volgen.

De app voor Android, iOS en BlackBerry geeft een gebruiker de gebruikers- en locatiegegevens van de 24 dichtstbijzijnde personen die op zoek zijn naar een partner. In 2012 verscheen er een update die ervoor zorgde dat gegevens versleuteld verstuurd werden, zodat gebruikers- en locatiegegevens niet afgeluisterd kunnen worden.

De gegevens zijn beschermd met behulp van AES-encryptie. De onderzoekers ontdekten dat de gebruikte sleutel echter gemakkelijk te achterhalen is door kwetsbaarheden in de gebruikte sleuteluitwisseling. Na het ontsleutelen van het Grindr-netwerkverkeer blijkt daarnaast dat het onderliggende protocol voor diverse aanvallen kwetsbaar is.

Afluisteren

Het verkeer dat gebruikt wordt om de 24 dichtstbijzijnde gebruikers door te sturen bevat onder andere een token dat verwijst naar het profiel van deze gebruikers. Het is dus een identificatiemiddel waarmee ook op het profiel van de betreffende gebruiker kan worden ingelogd. Er wordt dus geen andere authenticatie gebruikt om de volledige gebruikersprofielen af te schermen.

Met een onderschept token kan tevens niet publiek zichtbare informatie van een profiel worden ingezien en gewijzigd. Het onderliggende chatsysteem maakt gebruik van hetzelfde systeem. Als gevolg hiervan kunnen ook berichten afgeluisterd worden of uit naam van iemand anders worden verstuurd.

Identificeren

Naast de genoemde tokens bevat het verkeer dat gebruikt wordt om de 24 dichtstbijzijnde gebruikers door te sturen ook de afstand tot deze andere gebruikers. Het systeem maakt gebruik van de huidige gps-locatie van de gebruikers. Een aanvaller kan derhalve valse gps-locaties doorgeven, waardoor het mogelijk is om alle gebruikers van Grindr te identificeren en lokaliseren.

Nadat Grindr door de studenten werd ingelicht heeft het direct actie ondernomen. In samenspraak met de UvA is een responsible disclosureprocedure opgestart. Grindr heeft op 30 september een nieuwe versie van de app gelanceerd die alle problemen oplost. Gebruikers krijgen het advies om de update zo spoedig mogelijk te installeren.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.