Onderzoekers hebben in Tinder twee kwetsbaarheden ontdekt waardoor gebruikers via wifi-netwerken zijn te monitoren. Ook kan een aanvaller de profielfoto's die de gebruiker ziet aanpassen en door ongepaste content, advertenties of andere kwaadaardige content vervangen, zo claimen onderzoekers van het bedrijf Checkmarx. Om de aanval uit te kunnen voeren moet een aanvaller op hetzelfde wifi-netwerk als de Tinder-gebruiker zitten.
De aanval is mogelijk omdat Tinder van onveilige http-verbindingen gebruikmaakt en bij het https-gedeelte de omvang van de https-responses voorspelbaar is. Zowel de Android- als iOS-versies van Tinder maken gebruik van onveilige https-verzoeken bij het downloaden van profielfoto's. Een aanvaller op hetzelfde wifi-netwerk kan zo zien welke profielen de Tinder-gebruiker bekijkt en het profiel van de gebruiker identificeren en verkennen.
Het andere probleem wat de onderzoekers ontdekten is dat de https-responses van Tinder voorspelbaar zijn. Daardoor is het niet alleen mogelijk voor een aanvaller om te achterhalen welke afbeelding een gebruiker op Tinder bekijkt, maar ook welke actie hij of zij vervolgens neemt. Checkmarx informeerde Tinder over de twee kwetsbaarheden, maar nergens in het onderzoek (pdf) wordt melding gemaakt dat die zijn verholpen. Het bedrijf adviseert Tinder-gebruikers dan ook om openbare wifi-netwerken te vermijden.
Deze posting is gelocked. Reageren is niet meer mogelijk.