App til trekantsex taget med trusserne nede: Afslører alt om dens berømte brugere

Illustration: Pentestpartners
Det er ikke meget, der er holdt hemmeligt om brugerne af sex-appen 3Fun, og dermed ruller den seneste datingapp-skandale for fuld hammer.

Applikationen 3Fun lader folk møde andre, der synes to i sengen er for lidt. Derefter sladrer den uhæmmet om sine 1,5 millioner brugere, til hvem end der spørger selskabet bag applikationens servere. Det fortæller Pentestpartners på deres blog.

»Der er tale om en privacymæssigt mareridt,« skriver Pentestpartners i bloggen.

Miseren skyldes en fejl i appen, der tillader brugere af appen at ændre lokationen og indsamle en masse metadata om folk i det område, lokationen ændres til.

Også om andre brugere.

»Tidligere afsløringer af dating- og sexapps har været slemme. Men det her er meget, meget værre,« konkluderer Pentestpartners på deres blog.

Efterfølgende har Techcrunch efterprøvet sikkerhedsfolkenes undersøgelser og bekræftet deres resultater. I denne forbindelse fandt mediet adskillige kendte personer fra den amerikanske regering, deres seksuelle præferencer, fødselsdage og deres partneres brugerkonti.

Et af de mange billeder, hvis offentlige url'er stod i klartekst i den ukrypterede kommunikation mellem 3Fun-appen og selskabets servere. Illustration: Pentestpartners

Åbne data om åbne forhold

3Fun markedsføres ellers som et ‘privat sted’, man kan møde andre friske typer i nabolaget, men meget tyder altså på, at den private del af konceptet kan ligge på et meget lille sted.

Der er da heller ikke svært at bekræfte, om den profil, der minder om ens hustrus, nu også er hendes. For sårbarheden, der minder mere om en designfejl, lader nysgerrige lokalisere folk helt ned på husniveau.

Blandt andet helt ned til Downing Street i London, hvor sikkerhedsforskerne fandt en bruger. Det er her, den britiske premierminister bor.

Intet behov for fancy tricks

Normalt ville man kunne misbruge en datingapps afstandsberegner til at regne ud, hvor andre befinder sig, med en metode kaldet trilateration. Men metoden er ikke helt præcis og lidt besværlig.

Den er desuden fuldstændig overflødig, hvad angår 3Fun. I stedet for kun at have alle de saftige informationer på en server sendes alt til alle brugere. Derefter filtrerer appen, alt efter hvad brugeren af den bør se. Kigger man direkte i de -UKRYPTEREDE- data, kan man dog omgå den censur, der sker på appen.

Dermed kan man faktisk se de mange informationer om andre brugere, herunder billeder, som de andre brugere har markeret som ‘private’. Deres url'er afsløres nemlig i klartekst.

Sidst, men ikke mindst siger sikkerhedsforskerne, at der ganske givet er andre sårbarheder i den allerede gennemhullede app.

Det er ikke lykkedes Techcrunch at få 3Fun, der var flere uger om at lukke sikkerhedshullet, til at besvare spørgsmål.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Simon Mikkelsen

Hvad enten man laver web, app eller en anden form for klient, må man aldrig stole på den. Det lyder til at være det som er sket her.

Ganske vist kan udvikleren lave klienten så alt ser godt ud - men data som folk ikke må kunne se havner altså på klienten og dermed kan folk der graver lidt dybere få fat på det hele. Det kræver ikke andet end en simpel proxy-app som findes i hobetal.

På samme måde må man heller aldrig stole på data der kommer fra en klient - igen kan folk have skræddersyet det til at give uønskede resultater.

  • 7
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize