Онлайн-знакомства и безопасность

В дейтинговых приложениях люди обычно рассчитывают познакомиться с кем-то и развлечься, а не раздавать свои персональные данные направо и налево. Однако у дейтинговых сервисов есть определенные проблемы с безопасностью и приватностью. На конференции MWC21 Татьяна Шишкова, старший вирусный аналитик «Лаборатории Касперского», представила результаты исследования безопасности приложений для онлайн-знакомств. Рассказываем, к каким выводам она пришла после изучения приватности и безопасности самых популярных сервисов онлайн-знакомств — и что делать пользователям, чтобы обеспечить сохранность своих данных.

Безопасность приложений для онлайн-знакомств: что изменилось за четыре года

Наши эксперты уже проводили подобное исследование несколько лет назад: исследовав в 2017 году девять популярных сервисов, они пришли к неутешительным выводам — на тот момент в приложениях были большие проблемы с безопасной передачей пользовательских данных, а также с их хранением и доступностью для других пользователей. Вот основные угрозы, обнаруженные в исследовании 2017 года.

  • Из девяти исследованных сервисов шесть позволяли узнать местоположение пользователя.
  • Четыре сервиса позволяли узнать настоящее имя пользователя и найти его аккаунты в других социальных сетях.
  • Четыре сервиса позволяли перехватить отправляемые приложением данные, которые могли содержать конфиденциальную информацию.

Мы решили проверить, как изменилась ситуация к 2021 году. Для этого мы взяли девять наиболее популярных дейтинговых приложений: Tinder, OKCupid, Badoo, Bumble, Mamba, Pure, Feeld, Happn и Her. Эта подборка немного отличается от той, что была в 2017-м, поскольку за прошедшее время рынок сервисов для онлайн-знакомств слегка изменился, но самые массовые приложения сейчас те же, что и четыре года назад.

Безопасность передачи и хранения данных

С безопасностью передачи данных от приложения к серверу и обратно дела за четыре года стали гораздо лучше. Во-первых, все исследованные в этот раз сервисы используют шифрование. Во-вторых, во все приложения разработчики внедрили механизм, препятствующий атаке с подменой сертификата: при обнаружении поддельного сертификата приложения просто перестают передавать данные, а Mamba к тому же выводит предупреждение о том, что соединение небезопасно.

Что касается хранения данных на устройстве пользователя, то потенциальный злоумышленник по-прежнему может получить к ним доступ, если сумеет каким-то образом завладеть правами суперпользователя (root) на устройстве. Впрочем, это достаточно маловероятный сценарий. К тому же при наличии прав root устройство в любом случае оказывается беззащитным — так что кража сохраненных данных из дейтинг-приложения едва ли будет самым опасным из того, что может сделать злоумышленник.

Пароль на почту в открытом виде

Два из девяти исследованных сервисов — Mamba и Badoo — при регистрации присылают пароль в открытом виде на почту. Поскольку люди не очень-то склонны менять пароли сразу после регистрации и не всегда относятся серьезно к безопасности своих почтовых аккаунтов, это не очень хорошая практика. Взломав электронную почту или перехватив письмо, потенциальный злоумышленник может легко обнаружить в ней пароль от сервиса онлайн-знакомств и получить доступ еще и к нему (если, конечно, в нем не включена двухфакторная аутентификация).

Выступление Татьяны Шишковой на MWC21

Обязательное наличие фото

Одна из проблем дейтинговых сервисов — то, что скриншоты из них можно использовать против пользователя: для доксинга, шейминга или чего-то еще в таком духе. К сожалению, из девяти сервисов только один (Pure) позволяет создавать учетную запись вообще без фото — и к тому же запрещает делать скриншоты приложения. Другой (Mamba) позволяет бесплатно размывать фото и показывать оригинал только тем пользователям, которых выберет владелец аккаунта. Еще в нескольких сервисах подобная опция доступна платно.

Сервисы онлайн-знакомств и социальные сети

Все исследованные сервисы, кроме Pure, предоставляют возможность регистрации с помощью аккаунта в социальной сети, чаще всего Facebook. По сути, это единственный вариант для тех, кто не хочет делиться с приложением своим номером телефона. Правда, если Facebook-аккаунт выглядит недостаточно респектабельным — скажем, слишком недавно создан или в нем слишком мало друзей, — то поделиться телефоном, скорее всего, все равно придется.

Проблема состоит в том, что в большинстве приложений фото профиля Facebook автоматически подтягиваются в фото аккаунта. Таким образом, не составит проблем связать аккаунты в приложении онлайн-знакомств и в соцсети просто по фотографии.

Кроме того, многие дейтинг-приложения позволяют и даже советуют пользователям привязывать к своим профилям аккаунты в других соцсетях и онлайн-сервисах — например, в Instagram и Spotify, чтобы в профиль автоматически подтягивались новые фотографии и любимая музыка. Несмотря на то что прямого способа вычислить аккаунт в другом сервисе нет, может быть достаточно просто найти человека на других ресурсах, используя данные, указанные в профиле в приложении для онлайн-знакомств.

Определение местоположения

Пожалуй, самый скользкий момент в использовании приложений для онлайн-знакомств — это то, что в большинстве случаев придется предоставить сервису свое местоположение. Из девяти исследованных приложений четыре — Tinder, Bumble, Happn и Her — в обязательном порядке требуют разрешить им доступ к геолокации. В трех из них можно вручную изменить точное местоположение на регион в платной версии. В Happn такой опции нет, но платная версия позволяет скрыть расстояние от других пользователей.

Mamba, Badoo, OkCupid, Pure и Feeld не требуют обязательного доступа к геолокации и позволяют в бесплатной версии указать свое местоположение вручную. Но также они предлагают и автоматически определять координаты. И в случае Mamba давать доступ к геоданным — не самая лучшая идея, так как в этом сервисе очень высокая точность определения расстояния до другого пользователя — с точностью до метра.

В целом, если пользователь разрешает показывать расстояние до себя, то в большинстве сервисов несложно вычислить его местоположение, используя метод триангуляции и программы для подмены координат. Из четырех исследованных дейтинг-приложений, которые в обязательном порядке требуют данные геолокации, использованию таких программ противодействуют только два — Tinder и Bumble.

Одна из самых больших проблем дейтинговых приложений — возможность определить местоположение пользователя

Выводы

Чисто техническая безопасность приложений для онлайн-знакомств за последние четыре года заметно подтянулась — все исследованные сервисы стали использовать шифрование и бороться с возможными атаками Man-in-the-middle. Также большинство сервисов участвует в программах bug bounty, что наверняка помогает им закрывать уязвимости в своих продуктах.

Но вот что касается приватности, то тут все не очень гладко: у сервисов нет особой мотивации на то, чтобы оберегать пользователей от овершеринга. Люди достаточно часто выкладывают в открытый доступ гораздо больше данных о себе, чем стоило бы, забывая о возможных последствиях — доксинге, сталкинге, риске утечки данных и других онлайн-неприятностях.

Разумеется, проблема овершеринга касается не только дейтинговых приложений — с социальными сетями дела обстоят не лучше. Но в силу своей специфики сервисы онлайн-знакомств часто побуждают пользователей делиться такими данными, которые они вряд ли станут публиковать в других приложениях. Кроме того, в дейтинговых сервисах обычно меньше возможностей для контроля, с кем именно пользователь этими данными делится.

Поэтому рекомендуем всем, кто пользуется онлайн-приложениями, чаще задумываться о том, что стоит выкладывать, а что нет.