Por Canaltech em 24/01/2018
Mais um dia, mais uma falha de segurança descoberta. A bola da vez é o Tinder, cuja ausência de criptografia em seu sistema de compartilhamento de imagens e o uso de padrões para determinadas atividades no app permitem que hackers monitorem a utilização do software e até alterem seu funcionamento, constituindo uma bela invasão de privacidade.
A descoberta é da Checkmarx, que, com uma prova de conceito, foi capaz de acompanhar e espionar uma sessão completa de utilização do Tinder estando apenas conectado à mesma rede Wi-Fi que sua vítima. Além de reconhecer as ações de curtidas, negativas, Super Likes e matches, hackers também poderiam inserir imagens que não são parte dos álbuns ou fazer o mesmo com anúncios para obtenção de renda.
O problema, explicam os especialistas, está na falta de criptografia na transferência de fotos. O Tinder não utiliza o protocolo HTTPS para exibição das imagens, mas faz isso para as outras ações — que podem ser diferenciadas entre si por causa de padrões específicos de bytes usados por cada uma delas, derrotando o propósito da proteção por si só. Também é fácil descobrir preferências sexuais ou preferências de idade, bastando analisar esses mesmos parâmetros.
Para que tudo isso aconteça, basta que o hacker esteja na mesma rede sem fio que sua vítima, algo que pode acontecer, por exemplo, em um café, aeroporto ou empresa. Com esse tipo de acesso, diferentes formas de exploração podem ser aplicadas. Além das já citadas, com a colocação de anúncios indevidos e a exibição de imagens que não fazem parte dos álbuns originais, os hackers podem usar as informações — ou até mesmo o próprio fato de o usuário estar no Tinder — como uma forma de extorsão, exigindo dinheiro para não revelar o caso para um cônjuge, por exemplo.
Segundo a Checkmarx, os únicos elementos que permanecem integralmente protegidos no Tinder são as mensagens trocadas entre os usuários e as fotos enviadas entre eles, por meio de mensagens privadas, após uma combinação. Os mesmos parâmetros de proteção e brechas estariam disponíveis em todas as versões do serviço, desde a mobile até a edição para desktops.
Em comunicado oficial, a companhia afirmou que os perfis e fotos disponíveis no serviço fazem parte de uma plataforma global, ou seja, estão disponíveis para todos que possuem o aplicativo — uma justificativa que não explica a obtenção de tais dados por terceiros, de forma direcionada. Por outro lado, o Tinder disse estar trabalhando constantemente em novas medidas de segurança para evitar ataques ou extorsões.
Um exemplo seria, justamente, a aplicação de criptografia a todo o ambiente do serviço. De acordo com a empresa, as fotos de perfil, hoje, têm a proteção em fase de implementação, com o mesmo prestes a acontecer com todas as fotos compartilhadas no aplicativo. Entretanto, também afirmou que não daria mais detalhes sobre os processos justamente para evitar ações direcionadas por parte de hackers.
Fonte: The Verge
Nenhum comentário:
Postar um comentário