Avaliando o custo de um ataque DDoS
O aplicativo de encontros populares Tinder passou meses no ano passado vazamento de dados excessivos localização sobre seus usuários.
Segundo a incluir a segurança, o bug surgiu quando Tinder implementada uma correção para um problema de segurança mais antigo, que surgiu em julho de 2013 (no qual os usuários podem obter geolocalização em latitude e longitude de outros usuários, descoberto pela mesma empresa).
Tinder deve permitir que um usuário saber se outro usuário está na mesma área que eles - mas incluem segurança observa que após a sua API foi alterado no ano passado, forneceu distância "me-to-you" (o campo distance_mi) como um 64 bits número de precisão dupla.
Se a distância de Alice é fornecido com tanta precisão, e Bob pode obter a distância de três pontos, tudo que ele precisa fazer é desenhar três círculos, encontrar a interseção (triangulação) e ele sabe a localização de Alice dentro de 100 pés (cerca de 30 metros).
Obtendo distância relatada a partir de três locais é fácil, Incluir Max Veytsman de Segurança escreve: com três contas falsas na cidade "alvo", tudo o que é necessário é alimentar Tinder um local diferente para cada conta falsa, e devolveu o valor distance_mi para cada um.
Você está aqui: Incluir Tinder demo de vazamento de dados de segurança
A questão, que foi fixado em janeiro 2, é demonstrado neste vídeo do YouTube:
Como observa Veytsman, vazamento de dados geográficos é um grande problema no espaço de aplicativos móveis, porque os escritores de aplicativos são muitas vezes insensível sobre como eles lidam com informações de localização. Incluir a recomendação de segurança para Tinder é um bom conselho para qualquer aplicativo de dados local manuseio móvel: "nunca lidar com as medições de alta resolução de distância ou localização, em qualquer sentido no lado do cliente. Estes cálculos devem ser feitos no lado do servidor para evitar a possibilidade de as aplicações cliente interceptar a informação posicional ". ®
Nenhum comentário:
Postar um comentário