今週Tinderは、オレゴン州上院議員Ron Wydenから送られた、同社のアプリに存在する(脅迫やその他のプライバシー侵害につながる可能性がある)セキュリティホールを塞ぐ要請の書簡に回答した。
Wyden上院議員宛ての書簡の中で、Match Group法務顧問Jared Sineは、アプリに加えられた最新の変更について説明している。それによれば6月19日の時点で「スワイプデータはパディングされ、全てのアクションデータはいまや同じサイズになった」ということだ。またSineは、モバイルアプリ上の画像データは2月6日の時点で完全に暗号化されるようになったこと、一方ウェブバージョンのTinderでは画像は既に暗号化済だったことも付け加えた。
Tinderの問題は、まずCheckmarxの調査チームによる報告書の中で指摘された。そこではアプリの「好ましくない脆弱性」と、脅迫につながる可能性が報告されていた:
AndroidとiOSの両方のバージョンに見られるアプリの脆弱性により、ユーザーと同じネットワークを使用する攻撃者は、アプリ上でのすべての動きを監視することができる。また攻撃者は、ユーザーが見ているプロフィール写真に関しても操作することが可能となり、それらを不適切なコンテンツに差し替えたり、悪質な広告を流したり、その他の悪意あるコンテンツを表示することができる(本報告書の中で例示されてる)。
このプロセスには機密情報の盗難や、直接的な金銭的影響はないものの、脆弱なユーザーを標的にした攻撃者が、犠牲者を恐喝し、Tinderプロファイルやアプリの動作から高度な個人情報を抜き出し暴露する危険性がある。
2月には、WydenがTinderに対して、サーバーとアプリの間を移動する全てのデータを暗号化たり、データパディングを行うことによってハッカーの目からそれらを区別しにくくしたりして、脆弱性の問題に対処するように要請していた。当時TechCrunchに届けられた声明によれば、TinderはWyden上院議員の懸念を受けて、そのプライバシー保護を強化の一環として、すでにプロフィール写真の暗号化を実装したと述べていた。
「すべてのテクノロジー会社と同様に、悪意のあるハッカーやサイバー犯罪者との戦いにおいて防御を強化するために、私たちは常に努力している」とSineは述べている。「私たちの目標は、業界のベストプラクティスに見合うだけでなく、それらを上回るプロトコルとシステムを持つことである」。
[原文へ]
(翻訳:sako)
