Разное

Знакомства на мамбе без логина и пароля: Мамба — как быстро восстановить анкету на сайте знакомств

Мамба — как быстро восстановить анкету на сайте знакомств

На протяжении многих лет сервис совершенствовался и сейчас является одним из самых популярных и многофункциональных площадок для поиска второй половинки, друзей и просто общения. Мамба давно вышла за пределы обычного сайта знакомств. Сегодня это настоящая социальная сеть с огромной многонациональной аудиторией, множеством приложений и удобным геопоиском.

32Млн.

пользователей

Android/iOS

Приложения

Международный

Геолокация

Бесплатно

Регистрация

Перейти на МамбаОбзор сайта Мамба

Подбор сайта знакомств

{{ question.title }}

{{ answer.text }}

{{ progressCount }} / {{ AllQuestionsCount }}

Анализируем ваши ответы

Heart-Group

Поздравляем! Мы подобрали для вас
лучшие сайты знакомств

Содержание

Более 30 миллионов человек уже зарегистрированы на сайте. Кому-то удается быстрее найти вторую половинку, а кто-то разочаровывается и покидает аккаунт. Не важно, что заставило вас удалиться, задача стоит в другом: “Как восстановить анкету?”

Забыли пароль

Правила сайта заключаются в том, что пользователь при регистрации только придумывает себе имя, которое вписывает в соответствующую графу и указывает электронную почту. Пароль генерируется самостоятельно и отправляется на Е-мейл. Как правило, это набор больших и малых английских букв иногда с цифрами. Вполне логично, что вы не вспомните его. Но есть хорошая новость — восстановить аккаунт легко, ведь пароль сохранился на почте. Зайдите туда и найдите сообщение с сайта.

Еще один способ

Восстановить профиль можно иначе. Заходите на главную страницу и ищите раздел “потерялся пароль”. Далее нужно указать свой электронный адрес, который был написан при регистрации. Теперь снова идите на почту, ведь там вас будет ждать ссылка с надписью “Восстановление пароля”. Откройте вкладку и получите новый пароль.

Забыли логин и пароль

Самый сложный способ, которого лучше избежать. Скорее всего, вам придется регистрировать новую страницу, но попробуйте обратиться в службу поддержки сайта.

Шаги:

  • Зайдите в раздел “Помощь”.
  • Нажмите на окошко “Обратная связь”.
  • Найдите “вопросы по сервису”.
  • Там найдите нужную тему про регистрацию и авторизацию.
  • Отправьте свой вопрос.

Как можно подробней укажите информацию о своей странице и себе. Чем больше информации предоставите, тем больше шансов будет восстановить аккаунт.

Как восстановить профиль после удаления

Если вы удаляли полностью информацию о себе или скрывали данные из общего пользования, то вам понадобится восстановить страницу, чтобы возобновить общение онлайн.

Вход на вашу страницу можно осуществить если указать хоть какие-то данные: номер телефона, если это мобильная версия, пароль и почту в случае полной.

Двигаемся дальше. Если вы удаляли анкету по своему желанию, то вам дается полгода на возврат. За это время, все данные еще хранятся на сайте. Процедура легкая. Указываем свои данные и осуществляем вход. Точкой невозврата считается срок более шести месяцев. Тогда не стоит рассчитывать, что администрация сайта поможет восстановить страницу, придется создавать новую.

Перейти на сайт Мамба

Сайт знакомств Мамба: как восстановить мою страницу

Вопрос о том, как восстановить страницу на «Мамбе», возникает довольно часто. Пользователям иногда необходимо воссоздать анкету полностью, но это не всегда возможно. Если Вы не прошли авторизацию на сайте, введя свой логин и пароль, значит, данные уже недействительны.

Восстановление страницы можно осуществить различными способами. Рассмотрим их в нашей статье.

Восстановить страницу – что это означает?

Варианты могут быть следующими:

  1. Аккаунт был удален. Например, молодой человек познакомился с девушкой, у них завязались отношения, которым не суждено было продлиться долго. Но в тот период времени, когда все было хорошо, возлюбленная попросила об удалении профиля парня с Mamba. Он согласился это сделать. И снова хочет заняться вопросами знакомства.
  2. Анкета была скрыта от других пользователей – исключена из списка. Например, человек устал ежедневно просматривать новые сообщения, решил взять паузу или инициативу в свои руки.
  3. Произошла блокировка аккаунта администрацией сайта «Мамба». Возможно, были нарушены какие-то правила, а может, просто несправедливость.
  4. Забыт пароль для входа на сайт или еще хуже – логин, в роли которого, как правило, выступает адрес электронной почты.

Что же делать в каждом конкретном случае из числа вышеуказанных? Давайте разберемся.

Варианты решения проблемы

Итак, дадим инструкцию по каждой описанной ситуации.

Аккаунт удален

Если страница была уничтожена через меню настроек, нужно войти на сайт и нажать кнопку «Восстановить». Далее необходимо следовать инструкциям. «Мамба» не забывает о своих удаленных пользователях и периодически высылает на почту, с которой происходила регистрация, письма с напоминанием о возможности воссоздать профиль.

Установлен определенный срок, на протяжении которого все можно вернуть, как было. Он составляет 6 месяцев. Если пользователь не предпринял за это время никаких попыток к восстановлению аккаунта, информация о нем удаляется с серверов сайта безвозвратно. Исчезает абсолютно все: фото, переписка, записи в дневнике. Пользователю придется создавать другой аккаунт.

Возвращение анкеты в поиск

Более простой случай, по сравнению с предыдущим. Надо только зайти на страницу настроек, ознакомиться с пунктами в разделе «Приватность», снять или выставить галочки напротив нужных полей. Анкета снова появиться в поиске.

Страница заблокирована

Тяжелый случай. Не всегда можно разблокировать свой аккаунт. Здесь все решает администрация, поэтому следует действовать таким образом:

  1. Почитайте правила сайта и постарайтесь определить, насколько законно решение администратора заблокировать страницу.
  2. Свяжитесь со службой поддержки и постарайтесь выяснить причину наложения бана, если она вам непонятна.
  3. Попросите разблокировать страницу.

Решение принимает администрация. Причины блокировок бывают разными. Судя по отзывам, они не всегда происходят по вине пользователя, который нарушил какие-то правила. Но доступ к его странице закрыт. Некоторые даже обвиняют «Мамбу» в том, что банятся те аккаунты, на счету которых есть определенные денежные средства. Но мы не готовы обвинять данный сайт в мошенничестве. Вполне возможно, что в пользователях, которые пишут такие отзывы, просто говорит обида.

Забыты данные для входа

Чаще всего пользователи забывают пароль, особенно если он генерируется автоматически. Восстановить свою анкету на «Мамбе», в таком случае, довольно легко. Для этого создана специальная форма, ссылку на которую можно найти под окошком для входа или регистрации. Нужно ввести в неё адрес своей электронной почты и ждать письма.

Можно попробовать поискать у себя в ящике нужные данные, ведь при регистрации на почту приходит логин и пароль.

Если они забыты или утрачены, то воспользуйтесь привязанным к аккаунту номером мобильного телефона. При появлении проблем с регистрацией есть возможность обратиться в службу поддержки за помощью.

В крайнем случае, зарегистрируйтесь повторно на «Мамбе», тем более что все это делается бесплатно. Сложность лишь в том, что нужно будет указывать другой электронный ящик и номер телефона.

Mamba vs Meet24: в чем разница?

43points

Mamba

69points

MEEK24

Победитель сравнения

VS

84 Факты по сравнению

MAMBA

MERT24

WHOTE MAMBA BEETTER, чем встреча 24??

  • Показывает, кто посещал ваш профиль?
  • Есть параметры конфиденциальности?
  • Импортировать фотографии из Facebook?
  • Поддерживается еще 5 языков?
    16 против 11
  • Есть возможность поиска?
  • Можно персонализировать?

Почему Meet24 лучше, чем Mamba?

  • Есть возможность удалить историю сообщений?
  • Есть функция подмигивания/тыкания?
  • Есть чаты?
  • Оптимизирован для планшетов?
  • Требуется подробная информация о профиле?
  • Есть оценка совместимости?
  • Вы можете отправлять графические сообщения?
  • На 1,5 выше рейтинг в App Store?
    4 против 2,5

Какие сравнения самые популярные?

Mamba

vs

Tinder

Meet24

vs

MeetMe

Mamba

vs

Badoo

Meet24

vs

Badoo

Mamba

vs

Lovoo

Meet24

vs

Coffee Meets Bagel

Mamba

vs

OkCupid

Meet24

vs

Waplog

Mamba

vs

Zoosk

Meet24

vs

Lovoo

Mamba

vs

Down

Meet24

vs

Tingle

Mamba

vs

MeetMe

MEEK24

VS

Zoosk

MAMBA

против

HIGHE

MEEK24

против

Skout

Meet24

против

0003

Профиль и сопоставление

Использование GPS для знакомства с людьми

✔Mamba

✔Meet24

Вы можете видеть, кто находится рядом с вами, что упрощает встречу.

Имеет функцию подбора поведенческих пар

✖Mamba

✖Meet24

Механизмы подбора поведенческих пар отслеживают поведение тысяч пользователей, чтобы выявить общие закономерности. Эти знания затем используются, чтобы помочь вам найти пару, без необходимости заполнять множество длинных анкет и так далее.

Имеет поисковые фильтры

✔Mamba

✔Meet24

Вы можете искать одиноких людей, используя такие фильтры, как возраст, образование, рост или даже телосложение. Это полезно, если вы ищете что-то конкретное.

Позволяет оценивать ежедневные матчи

✖Mamba

✖Meet24

Оценивая ежедневные матчи, вы помогаете улучшить алгоритм поиска матчей в приложении. Со временем ежедневные матчи, предлагаемые приложением, должны стать для вас более подходящими.

Требуется подробная информация о профиле

✖Mamba

✔Meet24

Вы должны заполнить информацию о своем профиле и ответить на общий вопросник (это может занять много времени, но очень полезно для поиска возможных совпадений).

Имеет выбор действия смахивания

✖Mamba

✖Meet24

Вы можете быстро просмотреть профили и принять решение «да» или «нет» — например, проведите пальцем вправо, чтобы поставить «Нравится» пользователю, или проведите пальцем влево, чтобы «принять пропуск».

Имеет оценку совместимости

✖Mamba

✔Meet24

Оценка совместимости показывает, насколько хорошо вы подходите кому-либо, основываясь на различных факторах, таких как ваши интересы или ваши ответы в специальной анкете.

Показывает общих друзей в Facebook

✖Mamba

✖Meet24

Когда вы входите в систему через Facebook, вы узнаете, есть ли у вас и другого пользователя общие друзья. Это полезно, если вы хотите найти людей, связанных с вашим кругом, или даже избежать встречи с людьми, которые связаны с вами.

Позволяет указать вашу сексуальную ориентацию

✖Mamba

✖Meet24

Вы можете указать свою сексуальную ориентацию (например, гетеросексуальная, гомосексуальная, бисексуальная), что может облегчить поиск пары.

Уведомления

Уведомление «сообщение прочитано»

✖Mamba

✖Meet24

Вы можете видеть, когда кто-то открыл ваше сообщение, поэтому вы знаете, было ли оно прочитано.

Есть уведомления о взаимном совпадении

✖Mamba

✖Meet24

Если есть взаимное совпадение, означающее, что кто-то, кто вам нравится, также любит вас, вы сразу же получите уведомление.

Показывает, кто посетил ваш профиль

✔Mamba

✖Meet24

С помощью этой функции вы можете увидеть, кто посещал ваш профиль и кто может быть заинтересован в вас.

Есть уведомления о лайках

✖Mamba

✖Meet24

Приложение отправит вам уведомление, если кому-то понравится ваш профиль или добавит вас в избранное.

Функции обмена сообщениями

Есть возможность удалить историю сообщений

✖Mamba

✔Meet24

Вы можете удалить прошлые сообщения, например, если они содержат конфиденциальную или личную информацию.

Имеет функцию подмигивания/тыкания

✖Mamba

✔Meet24

Это поможет вам быстро и легко сообщить кому-то, что он вам интересен.

Вы можете оставаться невидимым

✖Mamba

✖Meet24

Вам не нужно выходить из системы, чтобы появиться в автономном режиме.

Есть чаты

✖Mamba

✔Meet24

В приложении есть чаты, где вы можете общаться с большими группами людей.

Со встроенным переводчиком

✖Mamba

✖Meet24

Со встроенным переводчиком вы можете легко общаться на разных языках.

Показывает процент ответов

✖Mamba

✖Meet24

Высокий процент ответов означает, что пользователь отвечает на большинство сообщений, которые он/она получает.

Показывает, что кто-то набирает

✖Mamba

✖Meet24

Вы можете видеть, когда кто-то набирает ответ, что может предотвратить путаницу.

Он использует «двустороннюю подписку»

✖Mamba

✖Meet24

Это означает, что вы должны добавить или принять контакты, прежде чем сможете отправлять сообщения. Это предотвращает отправку нежелательных сообщений незнакомцами.

Есть двусторонний видеочат

✖Mamba

✖Meet24

Вы можете общаться один на один с видео.

Безопасность

Имеет параметры конфиденциальности

✔Mamba

✖Meet24

Вы можете изменить настройки конфиденциальности, чтобы не весь контент был доступен для общего просмотра.

Предотвращает мошенников и поддельные профили

✖Mamba

✖Meet24

Приложение требует, чтобы все пользователи вошли в социальную сеть, чтобы подтвердить свою личность. Профили должны иметь как минимум большое количество друзей и быть активными не менее одного года.

Можно использовать анонимно

✖Mamba

✖Meet24

Вы можете использовать приложение анонимно, т.е. вам не нужно раскрывать свою истинную личность.

Сквозное шифрование

✖Mamba

✖Meet24

Сквозное шифрование защищает данные между двумя взаимодействующими сторонами и гарантирует, что только предполагаемый получатель может получить доступ к незашифрованной информации.

SIM-карта для входа не нужна

✖Mamba

✖Meet24

Приложение не связано с вашим номером телефона, поэтому вы можете использовать его на таких устройствах, как планшеты, без SIM-карты.

Учетная запись не требуется

✖Mamba

✖Meet24

Приложение не требует создания учетной записи для входа в систему и использования приложения.

Возможности

Импорт фотографий из Facebook

✔Mamba

✖Meet24

Приложение позволяет загружать ваши любимые фотографии прямо из Facebook.

Вы можете отправлять графические сообщения

✖Mamba

✔Meet24

Вы можете отправлять графические сообщения, например фотографии или рисунки, с помощью приложения.

Есть возможность поиска

✔Mamba

✖Meet24

Если вам нужно найти что-то конкретное, вы можете искать свои данные по определенным ключевым словам.

Имеет медиа-галерею

✖Mamba

✖Meet24

Медиа-библиотека содержит все загруженные файлы, что упрощает поиск и помогает организовать контент.

Включает карты

✖Mamba

✖Meet24

Включает локализованные карты, которые помогут вам легко просматривать информацию с первого взгляда. Обычно вы можете увеличить карту и увидеть желаемое место более подробно.

Можно делать фотографии

✖Mamba

✖Meet24

В приложении можно делать фотографии. Это позволяет вам делать все, от захвата изображения до редактирования в одном приложении, вместо того, чтобы импортировать изображение, снятое с помощью другого приложения камеры.

еще фото

Неизвестно. Помогите нам, предложив значение. (Мамба)

Неизвестно. Помогите нам, предложив значение. (Meet24)

Пользователи могут загружать несколько фотографий в свой профиль, чтобы вы могли лучше понять их внешний вид. Лучше иметь больше фотографий, если вы хотите привлечь больше внимания и быть доверенным пользователем.

Встроенные игры

✖Mamba

✖Meet24

Со встроенными играми вы можете весело провести время, играя с друзьями.

Имеет раздел новостей

✖Mamba

✔Meet24

Раздел новостей позволяет вам видеть последние действия ваших друзей/избранных.

Какие приложения для знакомств самые лучшие?

Опасные связи | Securelist

Кажется, почти все писали об опасностях онлайн-знакомств, от журналов по психологии до криминальных хроник. Но есть еще одна менее очевидная угроза, не связанная с общением с незнакомцами, — это мобильные приложения, используемые для облегчения процесса. Речь идет о перехвате и краже личной информации, а также о деанонимизации службы знакомств, что может доставить жертвам массу неприятностей — от рассылки сообщений от их имени до шантажа. Мы взяли самые популярные приложения и проанализировали, какие пользовательские данные они способны передать преступникам и на каких условиях.

Мы изучили следующие приложения для онлайн-знакомств:

  • Tinder для Android и iOS
  • Bumble для Android и iOS
  • OK Купидон для Android и iOS
  • Badoo для Android и iOS
  • Мамба для Android и iOS
  • Зооск для Android и iOS
  • Happn для Android и iOS
  • WeChat для Android и iOS
  • Пактор для Android и iOS

Под деанонимизацией мы понимаем, что настоящее имя пользователя устанавливается из профиля в социальной сети, где использование псевдонима не имеет смысла.

Возможности отслеживания пользователей

В первую очередь мы проверили, насколько легко отслеживать пользователей с помощью данных, доступных в приложении. Если в приложении была возможность показать ваше место работы, было довольно легко сопоставить имя пользователя и его страницу в социальной сети. Это, в свою очередь, могло бы позволить преступникам собрать гораздо больше данных о жертве, отследить ее передвижения, определить круг друзей и знакомых. Затем эти данные можно использовать для преследования жертвы.

Обнаружение профиля пользователя в социальной сети также означает, что другие ограничения приложения, такие как запрет на переписку друг с другом, могут быть обойдены. Некоторые приложения позволяют отправлять сообщения только пользователям с премиальными (платными) аккаунтами, в то время как другие запрещают мужчинам начинать разговор. Эти ограничения обычно не распространяются на социальные сети, и каждый может писать кому угодно.

В частности, в Tinder, Happn и Bumble пользователи могут добавлять информацию о своей работе и образовании. Используя эту информацию, нам удалось в 60% случаев идентифицировать страницы пользователей в различных социальных сетях, включая Facebook и LinkedIn, а также их полные имена и фамилии.


Пример учетной записи, предоставляющей информацию о рабочем месте, которая использовалась для идентификации пользователя в других социальных сетях

В Happn для Android есть дополнительная опция поиска: среди данных о просматриваемых пользователях отправляет в приложение, есть параметр fb_id — специально сгенерированный идентификационный номер для учетной записи Facebook. Приложение использует его, чтобы узнать, сколько у пользователя общих друзей на Facebook. Это делается с помощью токена аутентификации, который приложение получает от Facebook. Немного изменив этот запрос — удалив часть исходного запроса и оставив токен — можно узнать имя пользователя в аккаунте Facebook для любых просмотренных пользователей Happn.


Данные, полученные Android-версией Happn

Найти учетную запись пользователя с iOS-версией еще проще: сервер возвращает приложению реальный идентификатор пользователя Facebook.


Данные, полученные версией Happn для iOS

Информация о пользователях во всех других приложениях обычно ограничивается только фотографиями, возрастом, именем или ником. Мы не смогли найти учетные записи людей в других социальных сетях, используя только эту информацию. Даже поиск картинок в гугле не помог. В одном случае поисковик узнал Адама Сэндлера на фотографии, несмотря на то, что это была женщина, совершенно не похожая на актера.

Приложение Paktor позволяет узнать адреса электронной почты, причем не только тех пользователей, которые просматриваются. Все, что вам нужно сделать, это перехватить трафик, что достаточно легко сделать на собственном устройстве. В результате злоумышленник может получить адреса электронной почты не только тех пользователей, чьи профили он просматривал, но и других пользователей — приложение получает с сервера список пользователей с данными, включающими адреса электронной почты. Эта проблема встречается как в версиях приложения для Android, так и для iOS. Мы сообщили об этом разработчикам.


Фрагмент данных, который включает адрес электронной почты пользователя

Некоторые приложения в нашем исследовании позволяют вам привязать учетную запись Instagram к вашему профилю. Извлеченная из него информация также помогла нам установить настоящие имена: многие люди в Instagram используют свое настоящее имя, а другие включают его в имя аккаунта. Используя эту информацию, вы сможете найти учетную запись Facebook или LinkedIn.

Location

Большинство приложений, участвовавших в нашем исследовании, уязвимы с точки зрения определения местоположения пользователя до атаки, хотя эта угроза уже упоминалась в нескольких исследованиях (например, здесь и здесь). Мы обнаружили, что пользователи Tinder, Mamba, Zoosk, Happn, WeChat и Paktor особенно подвержены этому.


Скриншот версии WeChat для Android, показывающий расстояние до пользователей

Атака основана на функции, отображающей расстояние до других пользователей, обычно до тех, чей профиль в данный момент просматривается. Несмотря на то, что приложение не показывает, в каком направлении, местоположение можно узнать, перемещаясь вокруг жертвы и записывая данные о расстоянии до нее. Этот способ довольно трудоемкий, хотя сами сервисы упрощают задачу: злоумышленник может оставаться на одном месте, скармливая сервису поддельные координаты, каждый раз получая данные о расстоянии до владельца профиля.


Mamba для Android показывает расстояние до пользователя

Различные приложения показывают расстояние до пользователя с разной точностью: от нескольких десятков метров до километра. Чем менее точно приложение, тем больше измерений вам нужно сделать.


Помимо расстояния до пользователя, Happn показывает, сколько раз вы с ним «пересекались». со своими серверами. Нас интересовало, что можно перехватить, если, например, пользователь подключится к незащищенной беспроводной сети — для проведения атаки злоумышленнику достаточно находиться в той же сети. Даже если Wi-Fi-трафик зашифрован, его все равно можно перехватить на точке доступа, если она находится под контролем киберпреступника.

Большинство приложений используют SSL при общении с сервером, но некоторые вещи остаются незашифрованными. Например, Tinder, Paktor и Bumble для Android и iOS-версия Badoo загружают фотографии по HTTP, т. е. в незашифрованном формате. Это позволяет злоумышленнику, например, увидеть, какие учетные записи в данный момент просматривает жертва.


HTTP-запросы на фотографии из приложения Tinder

Android-версия Paktor использует модуль аналитики квантового графа, который передает много информации в незашифрованном формате, включая имя пользователя, дату рождения и GPS-координаты. Кроме того, модуль отправляет на сервер информацию о том, какими функциями приложения в данный момент пользуется жертва. Стоит отметить, что в версии Paktor для iOS весь трафик шифруется.


Незашифрованные данные, которые модуль квантового графа передает на сервер, включают в себя координаты пользователя

Хотя Badoo использует шифрование, его версия для Android загружает данные (GPS-координаты, информацию об устройстве и операторе мобильной связи и т. д.) на сервер в незашифрованном виде. format, если он не может подключиться к серверу через HTTPS.


Badoo передает координаты пользователя в незашифрованном виде

Сервис знакомств Mamba стоит особняком от всех остальных приложений. Во-первых, Android-версия Mamba включает в себя модуль Flurry Analytics, который загружает информацию об устройстве (производитель, модель и т. д.) на сервер в незашифрованном виде. Во-вторых, iOS-версия приложения Mamba подключается к серверу по протоколу HTTP, вообще без шифрования.


Mamba передает данные в незашифрованном виде, включая сообщения

Это позволяет злоумышленнику легко просматривать и даже изменять все данные, которыми приложение обменивается с серверами, включая личную информацию. Более того, используя часть перехваченных данных, можно получить доступ к управлению аккаунтом.


Используя перехваченные данные, можно получить доступ к управлению аккаунтом и, например, отправлять сообщения


Mamba: сообщения, отправленные после перехвата данных

Несмотря на то, что данные в версии Mamba для Android по умолчанию зашифрованы, приложение иногда подключается к серверу через незашифрованный HTTP. Перехватив данные, используемые для этих подключений, злоумышленник также может получить контроль над чужой учетной записью. Мы сообщили о своих выводах разработчикам, и они пообещали исправить эти проблемы.


Незашифрованный запрос Mamba

Нам также удалось обнаружить это в Zoosk для обеих платформ — часть связи между приложением и сервером осуществляется по HTTP, а данные передаются в запросах, которые можно перехватить, чтобы дать злоумышленнику временную возможность управлять учетной записью. . Следует отметить, что данные могут быть перехвачены только в тот момент, когда пользователь загружает в приложение новые фото или видео, т. е. не всегда. Мы сообщили разработчикам об этой проблеме, и они ее исправили.


Незашифрованный запрос Zoosk

Кроме того, Android-версия Zoosk использует рекламный модуль mobup. Перехватывая запросы этого модуля, можно узнать GPS-координаты пользователя, его возраст, пол, модель смартфона — все это передается в незашифрованном виде. Если злоумышленник контролирует точку доступа Wi-Fi, он может изменить отображаемую в приложении рекламу на любую, в том числе вредоносную.


Незашифрованный запрос от рекламного блока mopub также содержит координаты пользователя

Версия приложения WeChat для iOS подключается к серверу через HTTP, но все данные, передаваемые таким образом, остаются зашифрованными.

Данные в SSL

Как правило, рассматриваемые нами приложения и их дополнительные модули используют протокол HTTPS (HTTP Secure) для связи со своими серверами. Безопасность HTTPS основана на том, что сервер имеет сертификат, надежность которого можно проверить. Другими словами, протокол позволяет защититься от атак «человек посередине» (MITM): сертификат должен быть проверен, чтобы убедиться, что он действительно принадлежит указанному серверу.

Мы проверили, насколько хорошо приложения для знакомств противостоят этому типу атак. Это включало установку «самодельного» сертификата на тестовое устройство, что позволило нам «шпионить» за зашифрованным трафиком между сервером и приложением, а также проверять, проверяет ли последнее действительность сертификата.

Стоит отметить, что установить сторонний сертификат на Android-устройство очень просто, и пользователя можно заставить это сделать. Все, что вам нужно сделать, это заманить жертву на сайт, содержащий сертификат (если злоумышленник контролирует сеть, это может быть любой ресурс) и убедить ее нажать кнопку загрузки. После этого система сама начнет установку сертификата, один раз запросив PIN-код (если он установлен) и предложив имя сертификата.

С iOS все намного сложнее. Сначала необходимо установить профиль конфигурации, причем пользователю необходимо несколько раз подтвердить это действие и несколько раз ввести пароль или PIN-код устройства. Затем нужно зайти в настройки и добавить сертификат из установленного профиля в список доверенных сертификатов.

Оказалось, что большинство приложений в нашем исследовании в той или иной степени уязвимы для MITM-атаки. Только Badoo и Bumble, а также Android-версия Zoosk используют правильный подход и проверяют сертификат сервера.

Следует отметить, что хотя WeChat продолжал работать с поддельным сертификатом, он шифровал все перехваченные нами передаваемые данные, что можно считать успехом, так как собранную информацию нельзя использовать.


Сообщение от Happn в перехваченном трафике

Помните, что большинство программ в нашем исследовании используют авторизацию через Facebook. Это означает, что пароль пользователя защищен, хотя токен, позволяющий временно авторизоваться в приложении, может быть украден.


Токен в запросе приложения Tinder

Токен — это ключ для авторизации, который выдается службой аутентификации (в нашем примере Facebook) по запросу пользователя. Он выдается на ограниченное время, обычно на две-три недели, после чего приложение должно снова запросить доступ. С помощью токена программа получает все необходимые данные для аутентификации и может аутентифицировать пользователя на своих серверах, просто проверив достоверность токена.


Пример авторизации через Facebook

Интересно, что Мамба отправляет сгенерированный пароль на адрес электронной почты после регистрации с использованием учетной записи Facebook. Этот же пароль затем используется для авторизации на сервере. Таким образом, в приложении можно перехватить токен или даже связку логина и пароля, то есть злоумышленник сможет войти в приложение.

Файлы приложений (Android)

Мы решили проверить, какие данные приложений хранятся на устройстве. Хотя данные защищены системой, и другие приложения не имеют к ним доступа, их можно получить с правами суперпользователя (root). В связи с отсутствием широко распространенных вредоносных программ для iOS, способных получить права суперпользователя, мы считаем, что для владельцев устройств Apple данная угроза не актуальна. Поэтому в этой части исследования рассматривались только приложения для Android.

Права суперпользователя не так уж редки, когда речь идет об устройствах Android. По данным KSN, во втором квартале 2017 года их установили на смартфоны более 5% пользователей. Кроме того, некоторые троянцы могут сами получить root-доступ, воспользовавшись уязвимостями в операционной системе. Исследования доступности личной информации в мобильных приложениях проводились пару лет назад и, как видим, с тех пор мало что изменилось.

Анализ показал, что большинство приложений для знакомств не готовы к таким атакам; воспользовавшись правами суперпользователя, нам удалось получить авторизационные токены (в основном от Facebook) почти для всех приложений. Авторизация через Facebook, когда пользователю не нужно придумывать новые логины и пароли, является хорошей стратегией, повышающей безопасность аккаунта, но только в том случае, если аккаунт Facebook защищен надежным паролем. Однако сам токен приложения часто хранится недостаточно надежно.


Файл приложения Tinder с токеном

Используя сгенерированный токен Facebook, вы можете получить временную авторизацию в приложении для знакомств, получив полный доступ к аккаунту. В случае с Mamba нам даже удалось получить пароль и логин — их легко расшифровать с помощью ключа, хранящегося в самом приложении.


Файл приложения Mamba с зашифрованным паролем

Большинство приложений в нашем исследовании (Tinder, Bumble, OK Cupid, Badoo, Happn и Paktor) хранят историю сообщений в той же папке, что и токен. В результате, как только злоумышленник получит права суперпользователя, он получит доступ к переписке.


База данных приложения Paktor с сообщениями

Кроме того, почти все приложения хранят фотографии других пользователей в памяти смартфона. Это связано с тем, что приложения используют стандартные методы для открытия веб-страниц: система кэширует фотографии, которые можно открыть. Имея доступ к папке кеша, можно узнать, какие профили просматривал пользователь.

Заключение

Собрав воедино все найденные уязвимости в исследованных приложениях для знакомств, получим следующую таблицу:

Приложение Местоположение Преследование HTTP (Android) HTTP (iOS) HTTPS Сообщения Жетон
Тиндер + 60% Низкий Низкий + + +
Бамбл 50% Низкий НЕТ + +
ОК Купидон 0% НЕТ НЕТ + + +
Badoo 0% Средний НЕТ + +
Мамба + 0% Высокий Высокий + +
Зооск + 0% Высокий Высокий
(+ iOS)
+
Хаппн + 100% НЕТ НЕТ + + +
WeChat + 0% НЕТ НЕТ
Пактор + 100% писем Средний НЕТ + + +

Местоположение — определение местонахождения пользователя («+» — возможно, «-» невозможно)

Сталкинг — нахождение полного имени пользователя, а также его аккаунтов в других социальных сетях, процент обнаруженных пользователей (в процентах указано количество успешных идентификаций)

HTTP — возможность перехвата любых данных от приложения, отправленных в незашифрованном виде («НЕТ» — не удалось найти данные, «Низкий» — неопасные данные, «Средний» — данные, которые могут быть опасными, «Высокий» — перехваченные данные, которые можно использовать для получения управления аккаунтом).

HTTPS — перехват данных, передаваемых внутри зашифрованного соединения («+» — возможно, «-» невозможно).

Сообщения — доступ к сообщениям пользователей с использованием root-прав («+» — можно, «-» нельзя).

TOKEN — возможность украсть аутентификационный токен с использованием root прав («+» — возможно, «-» невозможно).

Как видно из таблицы, некоторые приложения практически не защищают личную информацию пользователей. Однако в целом все могло быть и хуже, даже с той оговоркой, что на практике мы не слишком внимательно изучали возможность определения местонахождения конкретных пользователей сервисов. Конечно, мы не собираемся отговаривать людей от использования приложений для знакомств, но хотели бы дать несколько рекомендаций, как пользоваться ими более безопасно. Во-первых, наш универсальный совет: избегайте общедоступных точек доступа Wi-Fi, особенно не защищенных паролем, используйте VPN и установите на свой смартфон защитное решение, способное обнаруживать вредоносное ПО.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *