Мамба — как быстро восстановить анкету на сайте знакомств
На протяжении многих лет сервис совершенствовался и сейчас является одним из самых популярных и многофункциональных площадок для поиска второй половинки, друзей и просто общения. Мамба давно вышла за пределы обычного сайта знакомств. Сегодня это настоящая социальная сеть с огромной многонациональной аудиторией, множеством приложений и удобным геопоиском.
32Млн.
пользователей
Android/iOS
Приложения
Международный
Геолокация
Бесплатно
Регистрация
Перейти на МамбаОбзор сайта Мамба
Подбор сайта знакомств
{{ question.title }}
{{ answer.text }}
{{ progressCount }} / {{ AllQuestionsCount }}
Анализируем ваши ответы
Heart-GroupПоздравляем! Мы подобрали для вас
лучшие сайты знакомств
Содержание
Более 30 миллионов человек уже зарегистрированы на сайте. Кому-то удается быстрее найти вторую половинку, а кто-то разочаровывается и покидает аккаунт. Не важно, что заставило вас удалиться, задача стоит в другом: “Как восстановить анкету?”
Забыли пароль
Правила сайта заключаются в том, что пользователь при регистрации только придумывает себе имя, которое вписывает в соответствующую графу и указывает электронную почту. Пароль генерируется самостоятельно и отправляется на Е-мейл. Как правило, это набор больших и малых английских букв иногда с цифрами. Вполне логично, что вы не вспомните его. Но есть хорошая новость — восстановить аккаунт легко, ведь пароль сохранился на почте. Зайдите туда и найдите сообщение с сайта.
Еще один способ
Восстановить профиль можно иначе. Заходите на главную страницу и ищите раздел “потерялся пароль”. Далее нужно указать свой электронный адрес, который был написан при регистрации. Теперь снова идите на почту, ведь там вас будет ждать ссылка с надписью “Восстановление пароля”. Откройте вкладку и получите новый пароль.
Забыли логин и пароль
Самый сложный способ, которого лучше избежать. Скорее всего, вам придется регистрировать новую страницу, но попробуйте обратиться в службу поддержки сайта.
Шаги:
- Зайдите в раздел “Помощь”.
- Нажмите на окошко “Обратная связь”.
- Найдите “вопросы по сервису”.
- Там найдите нужную тему про регистрацию и авторизацию.
- Отправьте свой вопрос.
Как можно подробней укажите информацию о своей странице и себе. Чем больше информации предоставите, тем больше шансов будет восстановить аккаунт.
Как восстановить профиль после удаления
Если вы удаляли полностью информацию о себе или скрывали данные из общего пользования, то вам понадобится восстановить страницу, чтобы возобновить общение онлайн.
Вход на вашу страницу можно осуществить если указать хоть какие-то данные: номер телефона, если это мобильная версия, пароль и почту в случае полной.
Двигаемся дальше. Если вы удаляли анкету по своему желанию, то вам дается полгода на возврат. За это время, все данные еще хранятся на сайте. Процедура легкая. Указываем свои данные и осуществляем вход. Точкой невозврата считается срок более шести месяцев. Тогда не стоит рассчитывать, что администрация сайта поможет восстановить страницу, придется создавать новую.
Перейти на сайт Мамба
Сайт знакомств Мамба: как восстановить мою страницу
Вопрос о том, как восстановить страницу на «Мамбе», возникает довольно часто. Пользователям иногда необходимо воссоздать анкету полностью, но это не всегда возможно. Если Вы не прошли авторизацию на сайте, введя свой логин и пароль, значит, данные уже недействительны.
Восстановление страницы можно осуществить различными способами. Рассмотрим их в нашей статье.
Восстановить страницу – что это означает?
Варианты могут быть следующими:
- Аккаунт был удален. Например, молодой человек познакомился с девушкой, у них завязались отношения, которым не суждено было продлиться долго. Но в тот период времени, когда все было хорошо, возлюбленная попросила об удалении профиля парня с Mamba. Он согласился это сделать. И снова хочет заняться вопросами знакомства.
- Анкета была скрыта от других пользователей – исключена из списка. Например, человек устал ежедневно просматривать новые сообщения, решил взять паузу или инициативу в свои руки.
- Произошла блокировка аккаунта администрацией сайта «Мамба». Возможно, были нарушены какие-то правила, а может, просто несправедливость.
- Забыт пароль для входа на сайт или еще хуже – логин, в роли которого, как правило, выступает адрес электронной почты.
Что же делать в каждом конкретном случае из числа вышеуказанных? Давайте разберемся.
Варианты решения проблемы
Итак, дадим инструкцию по каждой описанной ситуации.
Аккаунт удален
Если страница была уничтожена через меню настроек, нужно войти на сайт и нажать кнопку «Восстановить». Далее необходимо следовать инструкциям. «Мамба» не забывает о своих удаленных пользователях и периодически высылает на почту, с которой происходила регистрация, письма с напоминанием о возможности воссоздать профиль.
Установлен определенный срок, на протяжении которого все можно вернуть, как было. Он составляет 6 месяцев. Если пользователь не предпринял за это время никаких попыток к восстановлению аккаунта, информация о нем удаляется с серверов сайта безвозвратно. Исчезает абсолютно все: фото, переписка, записи в дневнике. Пользователю придется создавать другой аккаунт.
Возвращение анкеты в поиск
Более простой случай, по сравнению с предыдущим. Надо только зайти на страницу настроек, ознакомиться с пунктами в разделе «Приватность», снять или выставить галочки напротив нужных полей. Анкета снова появиться в поиске.
Страница заблокирована
Тяжелый случай. Не всегда можно разблокировать свой аккаунт. Здесь все решает администрация, поэтому следует действовать таким образом:
- Почитайте правила сайта и постарайтесь определить, насколько законно решение администратора заблокировать страницу.
- Свяжитесь со службой поддержки и постарайтесь выяснить причину наложения бана, если она вам непонятна.
- Попросите разблокировать страницу.
Решение принимает администрация. Причины блокировок бывают разными. Судя по отзывам, они не всегда происходят по вине пользователя, который нарушил какие-то правила. Но доступ к его странице закрыт. Некоторые даже обвиняют «Мамбу» в том, что банятся те аккаунты, на счету которых есть определенные денежные средства. Но мы не готовы обвинять данный сайт в мошенничестве. Вполне возможно, что в пользователях, которые пишут такие отзывы, просто говорит обида.
Забыты данные для входа
Чаще всего пользователи забывают пароль, особенно если он генерируется автоматически. Восстановить свою анкету на «Мамбе», в таком случае, довольно легко. Для этого создана специальная форма, ссылку на которую можно найти под окошком для входа или регистрации. Нужно ввести в неё адрес своей электронной почты и ждать письма.
Можно попробовать поискать у себя в ящике нужные данные, ведь при регистрации на почту приходит логин и пароль.
Если они забыты или утрачены, то воспользуйтесь привязанным к аккаунту номером мобильного телефона. При появлении проблем с регистрацией есть возможность обратиться в службу поддержки за помощью.
В крайнем случае, зарегистрируйтесь повторно на «Мамбе», тем более что все это делается бесплатно. Сложность лишь в том, что нужно будет указывать другой электронный ящик и номер телефона.
Mamba vs Meet24: в чем разница?
43points
Mamba
69points
MEEK24
Победитель сравнения
VS
84 Факты по сравнению
MAMBA
MERT24
WHOTE MAMBA BEETTER, чем встреча 24??
- Показывает, кто посещал ваш профиль?
- Есть параметры конфиденциальности?
- Импортировать фотографии из Facebook?
- Поддерживается еще 5 языков?
16 против 11 - Есть возможность поиска?
- Можно персонализировать?
Почему Meet24 лучше, чем Mamba?
- Есть возможность удалить историю сообщений?
- Есть функция подмигивания/тыкания?
- Есть чаты?
- Оптимизирован для планшетов?
- Требуется подробная информация о профиле?
- Есть оценка совместимости?
- Вы можете отправлять графические сообщения?
- На 1,5 выше рейтинг в App Store?
4 против 2,5
Какие сравнения самые популярные?
Mamba
vs
Tinder
Meet24
vs
MeetMe
Mamba
vs
Badoo
Meet24
vs
Badoo
Mamba
vs
Lovoo
Meet24
vs
Coffee Meets Bagel
Mamba
vs
OkCupid
Meet24
vs
Waplog
Mamba
vs
Zoosk
Meet24
vs
Lovoo
Mamba
vs
Down
Meet24
vs
Tingle
Mamba
vs
MeetMe
MEEK24
VS
Zoosk
MAMBA
против
HIGHE
MEEK24
против
Skout
Meet24
против
0003
Профиль и сопоставление
Использование GPS для знакомства с людьми
✔Mamba
✔Meet24
Вы можете видеть, кто находится рядом с вами, что упрощает встречу.
Имеет функцию подбора поведенческих пар
✖Mamba
✖Meet24
Механизмы подбора поведенческих пар отслеживают поведение тысяч пользователей, чтобы выявить общие закономерности. Эти знания затем используются, чтобы помочь вам найти пару, без необходимости заполнять множество длинных анкет и так далее.
Имеет поисковые фильтры
✔Mamba
✔Meet24
Вы можете искать одиноких людей, используя такие фильтры, как возраст, образование, рост или даже телосложение. Это полезно, если вы ищете что-то конкретное.
Позволяет оценивать ежедневные матчи
✖Mamba
✖Meet24
Оценивая ежедневные матчи, вы помогаете улучшить алгоритм поиска матчей в приложении. Со временем ежедневные матчи, предлагаемые приложением, должны стать для вас более подходящими.
Требуется подробная информация о профиле
✖Mamba
✔Meet24
Вы должны заполнить информацию о своем профиле и ответить на общий вопросник (это может занять много времени, но очень полезно для поиска возможных совпадений).
Имеет выбор действия смахивания
✖Mamba
✖Meet24
Вы можете быстро просмотреть профили и принять решение «да» или «нет» — например, проведите пальцем вправо, чтобы поставить «Нравится» пользователю, или проведите пальцем влево, чтобы «принять пропуск».
Имеет оценку совместимости
✖Mamba
✔Meet24
Оценка совместимости показывает, насколько хорошо вы подходите кому-либо, основываясь на различных факторах, таких как ваши интересы или ваши ответы в специальной анкете.
Показывает общих друзей в Facebook
✖Mamba
✖Meet24
Когда вы входите в систему через Facebook, вы узнаете, есть ли у вас и другого пользователя общие друзья. Это полезно, если вы хотите найти людей, связанных с вашим кругом, или даже избежать встречи с людьми, которые связаны с вами.
Позволяет указать вашу сексуальную ориентацию
✖Mamba
✖Meet24
Вы можете указать свою сексуальную ориентацию (например, гетеросексуальная, гомосексуальная, бисексуальная), что может облегчить поиск пары.
Уведомления
Уведомление «сообщение прочитано»
✖Mamba
✖Meet24
Вы можете видеть, когда кто-то открыл ваше сообщение, поэтому вы знаете, было ли оно прочитано.
Есть уведомления о взаимном совпадении
✖Mamba
✖Meet24
Если есть взаимное совпадение, означающее, что кто-то, кто вам нравится, также любит вас, вы сразу же получите уведомление.
Показывает, кто посетил ваш профиль
✔Mamba
✖Meet24
С помощью этой функции вы можете увидеть, кто посещал ваш профиль и кто может быть заинтересован в вас.
Есть уведомления о лайках
✖Mamba
✖Meet24
Приложение отправит вам уведомление, если кому-то понравится ваш профиль или добавит вас в избранное.
Функции обмена сообщениями
Есть возможность удалить историю сообщений
✖Mamba
✔Meet24
Вы можете удалить прошлые сообщения, например, если они содержат конфиденциальную или личную информацию.
Имеет функцию подмигивания/тыкания
✖Mamba
✔Meet24
Это поможет вам быстро и легко сообщить кому-то, что он вам интересен.
Вы можете оставаться невидимым
✖Mamba
✖Meet24
Вам не нужно выходить из системы, чтобы появиться в автономном режиме.
Есть чаты
✖Mamba
✔Meet24
В приложении есть чаты, где вы можете общаться с большими группами людей.
Со встроенным переводчиком
✖Mamba
✖Meet24
Со встроенным переводчиком вы можете легко общаться на разных языках.
Показывает процент ответов
✖Mamba
✖Meet24
Высокий процент ответов означает, что пользователь отвечает на большинство сообщений, которые он/она получает.
Показывает, что кто-то набирает
✖Mamba
✖Meet24
Вы можете видеть, когда кто-то набирает ответ, что может предотвратить путаницу.
Он использует «двустороннюю подписку»
✖Mamba
✖Meet24
Это означает, что вы должны добавить или принять контакты, прежде чем сможете отправлять сообщения. Это предотвращает отправку нежелательных сообщений незнакомцами.
Есть двусторонний видеочат
✖Mamba
✖Meet24
Вы можете общаться один на один с видео.
Безопасность
Имеет параметры конфиденциальности
✔Mamba
✖Meet24
Вы можете изменить настройки конфиденциальности, чтобы не весь контент был доступен для общего просмотра.
Предотвращает мошенников и поддельные профили
✖Mamba
✖Meet24
Приложение требует, чтобы все пользователи вошли в социальную сеть, чтобы подтвердить свою личность. Профили должны иметь как минимум большое количество друзей и быть активными не менее одного года.
Можно использовать анонимно
✖Mamba
✖Meet24
Вы можете использовать приложение анонимно, т.е. вам не нужно раскрывать свою истинную личность.
Сквозное шифрование
✖Mamba
✖Meet24
Сквозное шифрование защищает данные между двумя взаимодействующими сторонами и гарантирует, что только предполагаемый получатель может получить доступ к незашифрованной информации.
SIM-карта для входа не нужна
✖Mamba
✖Meet24
Приложение не связано с вашим номером телефона, поэтому вы можете использовать его на таких устройствах, как планшеты, без SIM-карты.
Учетная запись не требуется
✖Mamba
✖Meet24
Приложение не требует создания учетной записи для входа в систему и использования приложения.
Возможности
Импорт фотографий из Facebook
✔Mamba
✖Meet24
Приложение позволяет загружать ваши любимые фотографии прямо из Facebook.
Вы можете отправлять графические сообщения
✖Mamba
✔Meet24
Вы можете отправлять графические сообщения, например фотографии или рисунки, с помощью приложения.
Есть возможность поиска
✔Mamba
✖Meet24
Если вам нужно найти что-то конкретное, вы можете искать свои данные по определенным ключевым словам.
Имеет медиа-галерею
✖Mamba
✖Meet24
Медиа-библиотека содержит все загруженные файлы, что упрощает поиск и помогает организовать контент.
Включает карты
✖Mamba
✖Meet24
Включает локализованные карты, которые помогут вам легко просматривать информацию с первого взгляда. Обычно вы можете увеличить карту и увидеть желаемое место более подробно.
Можно делать фотографии
✖Mamba
✖Meet24
В приложении можно делать фотографии. Это позволяет вам делать все, от захвата изображения до редактирования в одном приложении, вместо того, чтобы импортировать изображение, снятое с помощью другого приложения камеры.
еще фото
Неизвестно. Помогите нам, предложив значение. (Мамба)
Неизвестно. Помогите нам, предложив значение. (Meet24)
Пользователи могут загружать несколько фотографий в свой профиль, чтобы вы могли лучше понять их внешний вид. Лучше иметь больше фотографий, если вы хотите привлечь больше внимания и быть доверенным пользователем.
Встроенные игры
✖Mamba
✖Meet24
Со встроенными играми вы можете весело провести время, играя с друзьями.
Имеет раздел новостей
✖Mamba
✔Meet24
Раздел новостей позволяет вам видеть последние действия ваших друзей/избранных.
Какие приложения для знакомств самые лучшие?
Опасные связи | Securelist
Кажется, почти все писали об опасностях онлайн-знакомств, от журналов по психологии до криминальных хроник. Но есть еще одна менее очевидная угроза, не связанная с общением с незнакомцами, — это мобильные приложения, используемые для облегчения процесса. Речь идет о перехвате и краже личной информации, а также о деанонимизации службы знакомств, что может доставить жертвам массу неприятностей — от рассылки сообщений от их имени до шантажа. Мы взяли самые популярные приложения и проанализировали, какие пользовательские данные они способны передать преступникам и на каких условиях.
Мы изучили следующие приложения для онлайн-знакомств:
- Tinder для Android и iOS
- Bumble для Android и iOS
- OK Купидон для Android и iOS
- Badoo для Android и iOS
- Мамба для Android и iOS
- Зооск для Android и iOS
- Happn для Android и iOS
- WeChat для Android и iOS
- Пактор для Android и iOS
Под деанонимизацией мы понимаем, что настоящее имя пользователя устанавливается из профиля в социальной сети, где использование псевдонима не имеет смысла.
Возможности отслеживания пользователей
В первую очередь мы проверили, насколько легко отслеживать пользователей с помощью данных, доступных в приложении. Если в приложении была возможность показать ваше место работы, было довольно легко сопоставить имя пользователя и его страницу в социальной сети. Это, в свою очередь, могло бы позволить преступникам собрать гораздо больше данных о жертве, отследить ее передвижения, определить круг друзей и знакомых. Затем эти данные можно использовать для преследования жертвы.
Обнаружение профиля пользователя в социальной сети также означает, что другие ограничения приложения, такие как запрет на переписку друг с другом, могут быть обойдены. Некоторые приложения позволяют отправлять сообщения только пользователям с премиальными (платными) аккаунтами, в то время как другие запрещают мужчинам начинать разговор. Эти ограничения обычно не распространяются на социальные сети, и каждый может писать кому угодно.
В частности, в Tinder, Happn и Bumble пользователи могут добавлять информацию о своей работе и образовании. Используя эту информацию, нам удалось в 60% случаев идентифицировать страницы пользователей в различных социальных сетях, включая Facebook и LinkedIn, а также их полные имена и фамилии.
Пример учетной записи, предоставляющей информацию о рабочем месте, которая использовалась для идентификации пользователя в других социальных сетях
В Happn для Android есть дополнительная опция поиска: среди данных о просматриваемых пользователях отправляет в приложение, есть параметр fb_id — специально сгенерированный идентификационный номер для учетной записи Facebook. Приложение использует его, чтобы узнать, сколько у пользователя общих друзей на Facebook. Это делается с помощью токена аутентификации, который приложение получает от Facebook. Немного изменив этот запрос — удалив часть исходного запроса и оставив токен — можно узнать имя пользователя в аккаунте Facebook для любых просмотренных пользователей Happn.
Данные, полученные Android-версией Happn
Найти учетную запись пользователя с iOS-версией еще проще: сервер возвращает приложению реальный идентификатор пользователя Facebook.
Данные, полученные версией Happn для iOS
Информация о пользователях во всех других приложениях обычно ограничивается только фотографиями, возрастом, именем или ником. Мы не смогли найти учетные записи людей в других социальных сетях, используя только эту информацию. Даже поиск картинок в гугле не помог. В одном случае поисковик узнал Адама Сэндлера на фотографии, несмотря на то, что это была женщина, совершенно не похожая на актера.
Приложение Paktor позволяет узнать адреса электронной почты, причем не только тех пользователей, которые просматриваются. Все, что вам нужно сделать, это перехватить трафик, что достаточно легко сделать на собственном устройстве. В результате злоумышленник может получить адреса электронной почты не только тех пользователей, чьи профили он просматривал, но и других пользователей — приложение получает с сервера список пользователей с данными, включающими адреса электронной почты. Эта проблема встречается как в версиях приложения для Android, так и для iOS. Мы сообщили об этом разработчикам.
Фрагмент данных, который включает адрес электронной почты пользователя
Некоторые приложения в нашем исследовании позволяют вам привязать учетную запись Instagram к вашему профилю. Извлеченная из него информация также помогла нам установить настоящие имена: многие люди в Instagram используют свое настоящее имя, а другие включают его в имя аккаунта. Используя эту информацию, вы сможете найти учетную запись Facebook или LinkedIn.
Location
Большинство приложений, участвовавших в нашем исследовании, уязвимы с точки зрения определения местоположения пользователя до атаки, хотя эта угроза уже упоминалась в нескольких исследованиях (например, здесь и здесь). Мы обнаружили, что пользователи Tinder, Mamba, Zoosk, Happn, WeChat и Paktor особенно подвержены этому.
Скриншот версии WeChat для Android, показывающий расстояние до пользователей
Атака основана на функции, отображающей расстояние до других пользователей, обычно до тех, чей профиль в данный момент просматривается. Несмотря на то, что приложение не показывает, в каком направлении, местоположение можно узнать, перемещаясь вокруг жертвы и записывая данные о расстоянии до нее. Этот способ довольно трудоемкий, хотя сами сервисы упрощают задачу: злоумышленник может оставаться на одном месте, скармливая сервису поддельные координаты, каждый раз получая данные о расстоянии до владельца профиля.
Mamba для Android показывает расстояние до пользователя
Различные приложения показывают расстояние до пользователя с разной точностью: от нескольких десятков метров до километра. Чем менее точно приложение, тем больше измерений вам нужно сделать.
Помимо расстояния до пользователя, Happn показывает, сколько раз вы с ним «пересекались». со своими серверами. Нас интересовало, что можно перехватить, если, например, пользователь подключится к незащищенной беспроводной сети — для проведения атаки злоумышленнику достаточно находиться в той же сети. Даже если Wi-Fi-трафик зашифрован, его все равно можно перехватить на точке доступа, если она находится под контролем киберпреступника.
Большинство приложений используют SSL при общении с сервером, но некоторые вещи остаются незашифрованными. Например, Tinder, Paktor и Bumble для Android и iOS-версия Badoo загружают фотографии по HTTP, т. е. в незашифрованном формате. Это позволяет злоумышленнику, например, увидеть, какие учетные записи в данный момент просматривает жертва.
HTTP-запросы на фотографии из приложения Tinder
Android-версия Paktor использует модуль аналитики квантового графа, который передает много информации в незашифрованном формате, включая имя пользователя, дату рождения и GPS-координаты. Кроме того, модуль отправляет на сервер информацию о том, какими функциями приложения в данный момент пользуется жертва. Стоит отметить, что в версии Paktor для iOS весь трафик шифруется.
Незашифрованные данные, которые модуль квантового графа передает на сервер, включают в себя координаты пользователя
Хотя Badoo использует шифрование, его версия для Android загружает данные (GPS-координаты, информацию об устройстве и операторе мобильной связи и т. д.) на сервер в незашифрованном виде. format, если он не может подключиться к серверу через HTTPS.
Badoo передает координаты пользователя в незашифрованном виде
Сервис знакомств Mamba стоит особняком от всех остальных приложений. Во-первых, Android-версия Mamba включает в себя модуль Flurry Analytics, который загружает информацию об устройстве (производитель, модель и т. д.) на сервер в незашифрованном виде. Во-вторых, iOS-версия приложения Mamba подключается к серверу по протоколу HTTP, вообще без шифрования.
Mamba передает данные в незашифрованном виде, включая сообщения
Это позволяет злоумышленнику легко просматривать и даже изменять все данные, которыми приложение обменивается с серверами, включая личную информацию. Более того, используя часть перехваченных данных, можно получить доступ к управлению аккаунтом.
Используя перехваченные данные, можно получить доступ к управлению аккаунтом и, например, отправлять сообщения
Mamba: сообщения, отправленные после перехвата данных
Несмотря на то, что данные в версии Mamba для Android по умолчанию зашифрованы, приложение иногда подключается к серверу через незашифрованный HTTP. Перехватив данные, используемые для этих подключений, злоумышленник также может получить контроль над чужой учетной записью. Мы сообщили о своих выводах разработчикам, и они пообещали исправить эти проблемы.
Незашифрованный запрос Mamba
Нам также удалось обнаружить это в Zoosk для обеих платформ — часть связи между приложением и сервером осуществляется по HTTP, а данные передаются в запросах, которые можно перехватить, чтобы дать злоумышленнику временную возможность управлять учетной записью. . Следует отметить, что данные могут быть перехвачены только в тот момент, когда пользователь загружает в приложение новые фото или видео, т. е. не всегда. Мы сообщили разработчикам об этой проблеме, и они ее исправили.
Незашифрованный запрос Zoosk
Кроме того, Android-версия Zoosk использует рекламный модуль mobup. Перехватывая запросы этого модуля, можно узнать GPS-координаты пользователя, его возраст, пол, модель смартфона — все это передается в незашифрованном виде. Если злоумышленник контролирует точку доступа Wi-Fi, он может изменить отображаемую в приложении рекламу на любую, в том числе вредоносную.
Незашифрованный запрос от рекламного блока mopub также содержит координаты пользователя
Версия приложения WeChat для iOS подключается к серверу через HTTP, но все данные, передаваемые таким образом, остаются зашифрованными.
Данные в SSL
Как правило, рассматриваемые нами приложения и их дополнительные модули используют протокол HTTPS (HTTP Secure) для связи со своими серверами. Безопасность HTTPS основана на том, что сервер имеет сертификат, надежность которого можно проверить. Другими словами, протокол позволяет защититься от атак «человек посередине» (MITM): сертификат должен быть проверен, чтобы убедиться, что он действительно принадлежит указанному серверу.
Мы проверили, насколько хорошо приложения для знакомств противостоят этому типу атак. Это включало установку «самодельного» сертификата на тестовое устройство, что позволило нам «шпионить» за зашифрованным трафиком между сервером и приложением, а также проверять, проверяет ли последнее действительность сертификата.
Стоит отметить, что установить сторонний сертификат на Android-устройство очень просто, и пользователя можно заставить это сделать. Все, что вам нужно сделать, это заманить жертву на сайт, содержащий сертификат (если злоумышленник контролирует сеть, это может быть любой ресурс) и убедить ее нажать кнопку загрузки. После этого система сама начнет установку сертификата, один раз запросив PIN-код (если он установлен) и предложив имя сертификата.
С iOS все намного сложнее. Сначала необходимо установить профиль конфигурации, причем пользователю необходимо несколько раз подтвердить это действие и несколько раз ввести пароль или PIN-код устройства. Затем нужно зайти в настройки и добавить сертификат из установленного профиля в список доверенных сертификатов.
Оказалось, что большинство приложений в нашем исследовании в той или иной степени уязвимы для MITM-атаки. Только Badoo и Bumble, а также Android-версия Zoosk используют правильный подход и проверяют сертификат сервера.
Следует отметить, что хотя WeChat продолжал работать с поддельным сертификатом, он шифровал все перехваченные нами передаваемые данные, что можно считать успехом, так как собранную информацию нельзя использовать.
Сообщение от Happn в перехваченном трафике
Помните, что большинство программ в нашем исследовании используют авторизацию через Facebook. Это означает, что пароль пользователя защищен, хотя токен, позволяющий временно авторизоваться в приложении, может быть украден.
Токен в запросе приложения Tinder
Токен — это ключ для авторизации, который выдается службой аутентификации (в нашем примере Facebook) по запросу пользователя. Он выдается на ограниченное время, обычно на две-три недели, после чего приложение должно снова запросить доступ. С помощью токена программа получает все необходимые данные для аутентификации и может аутентифицировать пользователя на своих серверах, просто проверив достоверность токена.
Пример авторизации через Facebook
Интересно, что Мамба отправляет сгенерированный пароль на адрес электронной почты после регистрации с использованием учетной записи Facebook. Этот же пароль затем используется для авторизации на сервере. Таким образом, в приложении можно перехватить токен или даже связку логина и пароля, то есть злоумышленник сможет войти в приложение.
Файлы приложений (Android)
Мы решили проверить, какие данные приложений хранятся на устройстве. Хотя данные защищены системой, и другие приложения не имеют к ним доступа, их можно получить с правами суперпользователя (root). В связи с отсутствием широко распространенных вредоносных программ для iOS, способных получить права суперпользователя, мы считаем, что для владельцев устройств Apple данная угроза не актуальна. Поэтому в этой части исследования рассматривались только приложения для Android.
Права суперпользователя не так уж редки, когда речь идет об устройствах Android. По данным KSN, во втором квартале 2017 года их установили на смартфоны более 5% пользователей. Кроме того, некоторые троянцы могут сами получить root-доступ, воспользовавшись уязвимостями в операционной системе. Исследования доступности личной информации в мобильных приложениях проводились пару лет назад и, как видим, с тех пор мало что изменилось.
Анализ показал, что большинство приложений для знакомств не готовы к таким атакам; воспользовавшись правами суперпользователя, нам удалось получить авторизационные токены (в основном от Facebook) почти для всех приложений. Авторизация через Facebook, когда пользователю не нужно придумывать новые логины и пароли, является хорошей стратегией, повышающей безопасность аккаунта, но только в том случае, если аккаунт Facebook защищен надежным паролем. Однако сам токен приложения часто хранится недостаточно надежно.
Файл приложения Tinder с токеном
Используя сгенерированный токен Facebook, вы можете получить временную авторизацию в приложении для знакомств, получив полный доступ к аккаунту. В случае с Mamba нам даже удалось получить пароль и логин — их легко расшифровать с помощью ключа, хранящегося в самом приложении.
Файл приложения Mamba с зашифрованным паролем
Большинство приложений в нашем исследовании (Tinder, Bumble, OK Cupid, Badoo, Happn и Paktor) хранят историю сообщений в той же папке, что и токен. В результате, как только злоумышленник получит права суперпользователя, он получит доступ к переписке.
База данных приложения Paktor с сообщениями
Кроме того, почти все приложения хранят фотографии других пользователей в памяти смартфона. Это связано с тем, что приложения используют стандартные методы для открытия веб-страниц: система кэширует фотографии, которые можно открыть. Имея доступ к папке кеша, можно узнать, какие профили просматривал пользователь.
Заключение
Собрав воедино все найденные уязвимости в исследованных приложениях для знакомств, получим следующую таблицу:
Приложение | Местоположение | Преследование | HTTP (Android) | HTTP (iOS) | HTTPS | Сообщения | Жетон |
Тиндер | + | 60% | Низкий | Низкий | + | + | + |
Бамбл | – | 50% | Низкий | НЕТ | – | + | + |
ОК Купидон | – | 0% | НЕТ | НЕТ | + | + | + |
Badoo | – | 0% | Средний | НЕТ | – | + | + |
Мамба | + | 0% | Высокий | Высокий | + | – | + |
Зооск | + | 0% | Высокий | Высокий | – (+ iOS) | – | + |
Хаппн | + | 100% | НЕТ | НЕТ | + | + | + |
+ | 0% | НЕТ | НЕТ | – | – | ||
Пактор | + | 100% писем | Средний | НЕТ | + | + | + |
Местоположение — определение местонахождения пользователя («+» — возможно, «-» невозможно)
Сталкинг — нахождение полного имени пользователя, а также его аккаунтов в других социальных сетях, процент обнаруженных пользователей (в процентах указано количество успешных идентификаций)
HTTP — возможность перехвата любых данных от приложения, отправленных в незашифрованном виде («НЕТ» — не удалось найти данные, «Низкий» — неопасные данные, «Средний» — данные, которые могут быть опасными, «Высокий» — перехваченные данные, которые можно использовать для получения управления аккаунтом).
HTTPS — перехват данных, передаваемых внутри зашифрованного соединения («+» — возможно, «-» невозможно).
Сообщения — доступ к сообщениям пользователей с использованием root-прав («+» — можно, «-» нельзя).
TOKEN — возможность украсть аутентификационный токен с использованием root прав («+» — возможно, «-» невозможно).
Как видно из таблицы, некоторые приложения практически не защищают личную информацию пользователей. Однако в целом все могло быть и хуже, даже с той оговоркой, что на практике мы не слишком внимательно изучали возможность определения местонахождения конкретных пользователей сервисов. Конечно, мы не собираемся отговаривать людей от использования приложений для знакомств, но хотели бы дать несколько рекомендаций, как пользоваться ими более безопасно. Во-первых, наш универсальный совет: избегайте общедоступных точек доступа Wi-Fi, особенно не защищенных паролем, используйте VPN и установите на свой смартфон защитное решение, способное обнаруживать вредоносное ПО.