วิศวกรคอมพิวเตอร์จากสเปน Marc Pratllusá และ Oriol Martínez ผู้เชี่ยวชาญด้านความปลอดภัยคอมพิวเตอร์ ได้พบ ความล้มเหลวค่อนข้างร้ายแรง ของแอปพลิเคชั่นหาคู่ Tinder Pratllusá และ Martínez โดยที่พวกเขาไม่ได้เป็นนักเจาะระบบคอมพิวเตอร์หรืออะไรทำนองนั้น พวกเขาตระหนักว่า ข้อบกพร่องด้านการออกแบบในแอปพลิเคชันสามารถ อนุญาตให้ทุกคน ที่มีความรู้ด้านคอมพิวเตอร์น้อยที่สุด เพื่อจดจำว่าละติจูดและลองจิจูดคือผู้คนใด กับคนที่คุณ "จับคู่" ในแอปวิศวกรค้นพบข้อบกพร่องโดยบังเอิญ ขณะตรวจสอบแอปอื่นๆ เช่น Wallapop, Facebook หรือ Spotify ด้วยเหตุผลทางวิชาชีพ และนั่นคือเมื่อพวกเขาค้นพบว่าแอปส่งตำแหน่งเป็นพิกัดแทนระยะทางอย่างที่ควรจะเป็น
การทำงานของแอปพลิเคชั่นนี้ง่ายมาก คนที่ใช้ เลื่อนไปมาระหว่างภาพถ่ายของผู้ใช้ที่ตรงกับข้อมูลที่ป้อนและเมื่อมีคนชอบพวกเขา พวกเขาทำเครื่องหมาย ถ้าคนที่พวกเขาทำเครื่องหมายว่าตรงกัน จะมี match ภายใต้เงื่อนไขการใช้งานนี้ วิศวกร พบว่า สามารถระบุตำแหน่งที่แน่นอนของบุคคลที่พวกเขาจับคู่ด้วย ข้อผิดพลาดยังคงอยู่แม้หลังจาก บล็อกผู้ใช้และเราบอกว่าเป็นในอดีตกาล เพราะ Tinder วิศวกรได้ลงมือแก้ไขเองโดยไม่แจ้งให้ผู้ใช้ทราบถึงข้อบกพร่องทำหน้าที่ ราวกับว่าไม่มีอะไรเกิดขึ้น
แต่สิ่งที่น่ากังวลที่สุดคือบั๊กนี้ในแอปพลิเคชันไม่เพียงแต่รายงานตำแหน่งในขณะนั้นเท่านั้น แต่ยัง ระบุทุกครั้งที่เราเคลื่อนไหว ซึ่งอนุญาตให้ผู้ใช้ถูกควบคุมโดยผู้ใช้รายอื่นราวกับว่าเป็นระบบระบุตำแหน่ง
Tinder ยังไม่ได้รายงานสิ่งใด แต่แสดงความคิดเห็นกับ EL PAíS ว่า «ความเป็นส่วนตัวและความปลอดภัยของผู้ใช้คือสิ่งสำคัญที่สุดของเรา เราไม่ได้พูดถึงช่องโหว่เฉพาะที่เราอาจพบเพื่อป้องกัน" แต่เห็นได้ชัดว่า เนื่องจากวิศวกรได้รายงานข้อผิดพลาดไปยังนักพัฒนาแอป จึงต้องใช้เวลา สามเดือนในการแก้ไข
ในการเข้าถึงข้อมูลนี้ วิศวกรชาวคาตาลันเพียงเพียงต้องติดตั้งพร็อกซีเซิร์ฟเวอร์ ระหว่างโทรศัพท์และเซิร์ฟเวอร์ Tinder ด้วยรายการนี้ คุณสามารถอ่านข้อมูลที่ส่งไปยังโทรศัพท์ของผู้ใช้
เมื่อพร็อกซีถูกติดตั้งและสังเกตเห็นความล้มเหลว พวกเขาตัดสินใจสร้างโปรไฟล์ปลอม เพื่อทำการทดสอบต่างๆ เพื่อตรวจสอบการมีอยู่จริง จากความผิดพลาดของพร็อกซี และมีข้อผิดพลาดเกิดขึ้นจริงและพวกเขาก็สามารถตรวจสอบได้ตำแหน่งที่แน่นอนของบุคคลต่าง ๆ ดังที่เห็นในภาพก่อนหน้านี้ ยังไม่ทราบว่ามีมานานแค่ไหน เกิดขึ้นหรือมีกี่คนที่สามารถใช้มันในทางที่ผิด แม้ว่าเราจะยืนยันได้ว่าเวลาผ่านไปแล้วสามเดือนนับตั้งแต่ Pratllusá และ Martínez ค้นพบมันและจนกว่า Tinder จะแก้ไขได้
ที่มา: EL PAÍS
