Pular para o conteúdo

Vulnerabilidades no Tinder permitem bisbilhotar usuários

    Pesquisadores da Checkmarx disseram ter descoberto duas vulnerabilidades no Tinder, famoso app de relacionamento disponível nas plataformas Android e iOS. Essas falhas poderiam permitir que um invasor espionasse a atividade do usuário (técnica “snoop”) e manipulasse conteúdo, comprometendo a privacidade do usuário e colocando-os em risco.

    Os atacantes podem visualizar o perfil de um usuário do Tinder, ver as imagens de perfil que visualizam e determinar as ações que eles tomam, como deslizar para a esquerda ou para a direita, se eles estiverem na mesma rede wi-fi como um alvo, de acordo com um relatório da Checkmarx divulgado na terça-feira.

    “Outros cenários em que um invasor pode interceptar o tráfego incluem VPN ou administradores da empresa, ataques de envenenamento de DNS (DNS cache poisoning) ou um provedor de serviços de internet mal-intencionado – para citar alguns”, escreveram os pesquisadores.

    Uma vulnerabilidade reside no fato de que, atualmente, as versões do Tinder para iOS e Android baixam imagens de perfil através de conexões HTTP inseguras, disse o Checkmarx.

    “Os atacantes podem descobrir facilmente que dispositivo está visualizando quais perfis”, escreveram os pesquisadores. “Além disso, se o usuário permanecer online por tempo suficiente, ou se o aplicativo for inicializado na rede vulnerável, o invasor pode identificar e explorar o perfil do usuário”.

    Os pesquisadores disseram que a vulnerabilidade também poderia permitir que um invasor intercepte e modifique o tráfego. “As imagens de perfil que a vítima visualiza podem ser trocadas, uma publicidade ‘perigosa’ pode ser colocada e o conteúdo malicioso também pode ser injetado”, disseram.

    Checkmarx recomenda que todo o tráfego do aplicativo Tinder seja movido para HTTPS. “Pode-se argumentar que isso afeta a qualidade da velocidade, mas quando se trata da privacidade e sensibilidade necessárias, a velocidade não deve ser a principal preocupação”, afirmou.

    O Tinder não pôde ser contactado imediatamente para comentar este relatório.

    Além do uso de HTTP inseguro, o Checkmarx encontrou um problema com o uso de HTTPS pelo Tinder. Os pesquisadores chamam essa vulnerabilidade de um “Predictable HTTPS Response Size”.

    “Ao analisar cuidadosamente o tráfego que vem do cliente para o servidor da API e correlacionar com o tráfego de solicitações de imagem HTTP, é possível que um invasor determine não apenas a imagem que o usuário está vendo no Tinder, mas também qual ação o usuário tomou. Isso é feito verificando o tamanho do payload da resposta criptografada do servidor da API para determinar a ação”, disseram os pesquisadores.

    Por exemplo, quando um usuário desliza para a esquerda em uma imagem de perfil, indicando falta de interesse em um perfil, o servidor da API oferece uma resposta criptografada de 278 bytes. Deslizando para a direita, o que significa que um usuário gostou de um perfil específico, gera uma resposta de 374 bytes, disse Checkmarx.

    Como as imagens de membros do Tinder são baixadas para o aplicativo por meio de uma conexão HTTP insegura, é possível que os atacantes também vejam as imagens de perfil desses usuários sendo deslocadas para a esquerda e direita.

    “As respostas dos usuários não devem ser previsíveis”, escreveram os pesquisadores. “O preenchimento das requisições e respostas devem ser considerados para reduzir as informações disponíveis para um invasor. Se as respostas fossem preenchidas em um tamanho fixo, seria impossível diferenciar entre elas”.

    Ambas as vulnerabilidades foram divulgadas para o Tinder antes da publicação do relatório. Checkmarx calculou uma pontuação CVSS de 4.3 para ambas vulnerabilidades.

    Embora não esteja claro se um invasor já explorou as vulnerabilidades, isso poderia expor os usuários do Tinder a chantagens e outras ameaças, além de uma invasão de sua privacidade, disse Checkmarx.


    Publicado originalmente no ThreatPost em 23 de janeiro de 2018.

    Este conteúdo foi traduzido com permissão. ThreatPost não é afiliado com este site.

    Autor: Christopher Kanaracus
    Tradução por Tiago Souza

    Deixe um comentário

    O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

    Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.