Maanantai 18.6.2018

Tivi: Tinderistä löytyi hätkähdyttävä haavoittuvuus – joka ikisen tilin sai kaapattua

Jaa artikkeli:
Luotu: 
22.2.2018 13:39
Päivitetty: 
22.2.2018 13:44
  • Kuva: All Over Press / EPA
    Kuva
|

Tietoturvayhtiö Appsecuren tutkijat löysivät keinon kaapata kenen tahansa Tinder-tilin hallintaansa, kertoo Tivi.

Tietoturvatutkijat hyödynsivät ohjelmointivikaa, joka löytyi sekä Tinderin sisäänkirjautumismekanismissa että Facebookin rajapinnassa. Engadgetin mukaan haavoittuvuus esiintyi, kun käyttäjä kirjautui Tinder-tililleen Facebookin kautta käyttämällä puhelinnumeroaan.

Facebookin rajapinnan kirjautumisprosessi vertaa annettua puhelinnumeroa käyttäjätunnuksiin. Jos ne täsmäävät, sisäänkirjautuminen hyväksytään ja Tinderille lähetetään hyväksynnästä kertova koodinpätkä. Kun tutkijat kaappasivat tällaisen hyväksyntäavaimen he huomasivat, että se oli käytännössä Tinderin yleisavain.

Tinderin kirjautumisjärjestelmä ei nimittäin tarkistanut, että Facebookin antama hyväksyntäavain täsmäisi Tinderiin ohjatun käyttäjän tunnuksiin. Palvelu oletti, että jos kerran sisään kirjautuvalla käyttäjällä oli Facebookin antama hyväksyntäavain, hän on selvästi silloin varmistettu käyttäjä. Livauttamalla hyväksyntäavaimen vieraisiin puhelinnumeroihin tutkijat pääsivät vaivatta käsiksi muiden omistamiin käyttäjätileihin.

Haavoittuvuudet on jo paikattu. Facebook ja Tinder maksoivat virheet löytäneille tutkijoille 5000 ja 1250 dollarin palkkiot.

Lähde: Tivi

Yritykset: 
Jaa artikkeli: