Brechas mostram localização e mensagens de usuários do Tinder e outros apps de relacionamento
Pesquisadores de segurança descobriram inúmeras falhas em populares apps de relacionamento como Tinder, Bumble e OK Cupid. Usando desde vulnerabilidades simples a mais complexas, pesquisadores da Kaspersky Lab dizem que puderam acessar os dados de localização do usuários, seus nomes reais, informações de login, histórico de mensagens e até os perfis que os usuários viram. Como apontam os pesquisadores, isso os torna suscetíveis a chantagens, por exemplo.
• O Tinder tem centenas de páginas com informações suas, e isso é só a ponta do iceberg
• Diante de críticas, Kaspersky vai liberar seu código-fonte: “Não temos nada a esconder”
Roman Unuchek, Mikhail Kuzin e Sergey Zelensky conduziram a pesquisa nas versões de iOS e Android de nove aplicativos de relacionamento: Tinder, Bumble, OK Cupid, Badoo, Mamba, Zoosk, Happn, WeChat e Paktor. Eles descobriram que não é necessário invadir os servidores dos apps para obter estes dados sensíveis. A maioria dos apps tem proteções mínimas da criptografia do protocolo HTTPS, tornando fácil acessar os dados dos usuários.
Ausentes da lista estão aplicativos gays como Grindr e Scruff, que incluem informações sensíveis de status de HIV e preferências sexuais.
A primeira brecha foi a mais simples: é fácil de usar as informações aparentemente inofensivas que usuários revelam sobre si mesmos para descobrir seus dados. Tinder, Happn e Bumble foram os mais vulneráveis neste método. Com 60% de precisão, pesquisadores puderam encontrar informações de emprego e escolaridade no perfil de um usuário e equipará-las a outros perfis sociais da mesma pessoa. Qualquer que seja a privacidade de um aplicativo de relacionamento, ela pode ser facilmente contornada se os usuários podem ser contatados por outras redes sociais menos seguras. Assim, não é difícil criar um perfil falso para contatar alguém por outro canal.
Depois, os pesquisadores descobriram que diversos aplicativos eram propensos a uma brecha de localização. É comum estes apps de relacionamento apresentarem uma função de distância entre os usuários, mostrando quão longe ou perto estão uns dos outros – a 500 metros de distância, 2 quilômetros de distância, etc. Essa tática foi, inclusive, testada por um desenvolvedor brasileiro. Mas, independente disso, os apps não devem revelar a localização do usuário ou permitir que outros usuários descubra onde ele está. Os pesquisadores puderam contornar esta característica ao alimentar os apps com coordenadas falsas e medir as distâncias dos usuários. Tinder, Mamba, Zooks, Happn, WeChat e Paktor são vulneráveis a essa brecha, dizem os pesquisadores.
A brecha mais complexa foi também a mais espantosa. Tinder, Paktor e Bumble para Android, e a versão iOS do Badoo, fazem upload de fotos por HTTP sem criptografia. Com este método, os pesquisadores dizem que puderam ver os perfis que os usuários viram e quais fotos eles clicaram. Semelhantemente, eles disseram que a versão para iOS do Mamba “se conecta ao servidor usando o protocolo HTTP, sem nenhum tipo de encriptação”. Os pesquisadores dizem que puderam extrair informações de usuários, incluindo dados de login, permitindo que eles entrassem no perfil e enviassem mensagens.
A brecha mais perigosa, no entanto, ameaça especificamente usuários Android, embora seja necessário ter acesso físico a um aparelho com root. Usando aplicativos grátis como KingoRoot, usuários Android podem ganhar acesso de usuário administrador, permitindo a eles efetuar o equivalente ao jailbreaking para Android. Pesquisadores abusaram disso, usando o usuário administrador para ganhar acesso ao autenticador do Facebook para o Tinder, dando a eles acesso completo para a conta. O login por Facebook é habilitado por padrão no aplicativo. Seis outros apps – Tinder, Bumble, OK Cupid, Badoo, Happn e Paktor – ficaram vulneráveis a ataques semelhantes e, porque eles armazenam o histórico de mensagens no dispositivo, usuários administradores puderam ler as mensagens.
Os pesquisadores dizem já ter enviado as descobertas aos respectivos desenvolvedores. Isso, no entanto, não deixa a situação menos preocupante, mas eles explicam que as melhores alternativas são a) nunca acessar um app de relacionamento por Wi-Fi público b) instalar software que vasculha por malwares no celular, e c) nunca especificar seu local de trabalho ou informação semelhante no seu perfil.