App til trekantsex taget med trusserne nede: Afslører alt om dens berømte brugere

9. august 2019 kl. 15:351
App til trekantsex taget med trusserne nede: Afslører alt om dens berømte brugere
Illustration: Pentestpartners.
Det er ikke meget, der er holdt hemmeligt om brugerne af sex-appen 3Fun, og dermed ruller den seneste datingapp-skandale for fuld hammer.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Applikationen 3Fun lader folk møde andre, der synes to i sengen er for lidt. Derefter sladrer den uhæmmet om sine 1,5 millioner brugere, til hvem end der spørger selskabet bag applikationens servere. Det fortæller Pentestpartners på deres blog.

»Der er tale om en privacymæssigt mareridt,« skriver Pentestpartners i bloggen.

Miseren skyldes en fejl i appen, der tillader brugere af appen at ændre lokationen og indsamle en masse metadata om folk i det område, lokationen ændres til.

Også om andre brugere.

Artiklen fortsætter efter annoncen

»Tidligere afsløringer af dating- og sexapps har været slemme. Men det her er meget, meget værre,« konkluderer Pentestpartners på deres blog.

Efterfølgende har Techcrunch efterprøvet sikkerhedsfolkenes undersøgelser og bekræftet deres resultater. I denne forbindelse fandt mediet adskillige kendte personer fra den amerikanske regering, deres seksuelle præferencer, fødselsdage og deres partneres brugerkonti.

Et af de mange billeder, hvis offentlige url'er stod i klartekst i den ukrypterede kommunikation mellem 3Fun-appen og selskabets servere.

Åbne data om åbne forhold

3Fun markedsføres ellers som et ‘privat sted’, man kan møde andre friske typer i nabolaget, men meget tyder altså på, at den private del af konceptet kan ligge på et meget lille sted.

Der er da heller ikke svært at bekræfte, om den profil, der minder om ens hustrus, nu også er hendes. For sårbarheden, der minder mere om en designfejl, lader nysgerrige lokalisere folk helt ned på husniveau.

Blandt andet helt ned til Downing Street i London, hvor sikkerhedsforskerne fandt en bruger. Det er her, den britiske premierminister bor.

Intet behov for fancy tricks

Normalt ville man kunne misbruge en datingapps afstandsberegner til at regne ud, hvor andre befinder sig, med en metode kaldet trilateration. Men metoden er ikke helt præcis og lidt besværlig.

Den er desuden fuldstændig overflødig, hvad angår 3Fun. I stedet for kun at have alle de saftige informationer på en server sendes alt til alle brugere. Derefter filtrerer appen, alt efter hvad brugeren af den bør se. Kigger man direkte i de -UKRYPTEREDE- data, kan man dog omgå den censur, der sker på appen.

Dermed kan man faktisk se de mange informationer om andre brugere, herunder billeder, som de andre brugere har markeret som ‘private’. Deres url'er afsløres nemlig i klartekst.

Sidst, men ikke mindst siger sikkerhedsforskerne, at der ganske givet er andre sårbarheder i den allerede gennemhullede app.

Det er ikke lykkedes Techcrunch at få 3Fun, der var flere uger om at lukke sikkerhedshullet, til at besvare spørgsmål.

1 kommentar.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
1
10. august 2019 kl. 16:44

Hvad enten man laver web, app eller en anden form for klient, må man aldrig stole på den. Det lyder til at være det som er sket her.

Ganske vist kan udvikleren lave klienten så alt ser godt ud - men data som folk ikke må kunne se havner altså på klienten og dermed kan folk der graver lidt dybere få fat på det hele. Det kræver ikke andet end en simpel proxy-app som findes i hobetal.

På samme måde må man heller aldrig stole på data der kommer fra en klient - igen kan folk have skræddersyet det til at give uønskede resultater.