Falha no Tinder expõe dados e as fotos dos usuários para estranhos

Obs: sugestão para prova de conceito, Kali + Ettercap + Drifnet, a responsabilidade é inteiramente sua. Use somente para fins educativos, não vá bisbilhotar o seu cônjuge, quem procura acha.

 

Lançado em 2012, o Tinder é um serviço de namoro altamente popular, que atendeu mais de 20 bilhões de pessoas até hoje e utilizado em 196 países. No entanto, de acordo com especialistas de segurança da Checkmarx, uma empresa de segurança baseada em Tel Aviv, a Tinder possui duas falhas críticas de segurança que expõem todos os deslizes e combinações de seus usuários para estranhos, incluindo cibercriminosos que estão usando a mesma rede sem fio. As falhas foram identificadas em novembro de 2017 e o Tinder foi informado sobre elas naquela época, mas uma solução ainda não foi divulgada.
A primeira falha está associada ao processo de criptografia em torno da categoria de imagens, sendo assim isso permite que os hackers tenham informações sobre as fotos que você está visitando. A outra falha pode expor os padrões de dados em certas ações, como deslizar para a direita ou para a esquerda. Por meio da compreensão desses padrões, os hackers podem facilmente compreender suas intenções.

Os pesquisadores da Checkmarx acreditam que um hacker pode facilmente controlar as fotos de perfil e, fazer uso inadequado, além de fazer propaganda desonesta. A razão pela qual o serviço enfrenta problemas é que ainda não foi implementada a criptografia HTTPS. O aplicativo permite o deslocamento de imagens sobre o HTTP não seguro, o que facilita a interceptação de uma pessoa usando a mesma rede Wi-Fi.

No entanto, o uso de HTTPS significaria que nenhum terceiro pode ler as mensagens. Uma vez que o recurso de deslocamento da Tinder não possui proteção HTTPS, as mensagens são expostas aos outros. Isso pode levar a consequências terríveis, como por meio da obtenção de informações sobre as preferências sexuais de um usuário, um hacker pode chantageá-lo e ameaçar a divulgação dessas informações sensíveis.

De acordo com Erez Yalon, gerente da pesquisa de segurança de aplicativos da Checkmarx: “Podemos simular exatamente o que o usuário vê na tela. Você sabe tudo: o que eles estão fazendo, quais são suas preferências sexuais, muita informação “.

Além disso, o HTTP desprotegido permite que os invasores obtenham dados do Tinder através da identificação de padrões de bytes para várias ações. Como o deslize esquerdo representa 278 bytes, enquanto o deslize direito representa 374 bytes e uma correspondência é encontrada em 581 bytes. Ao reconhecer os padrões de dados, os hackers podem executar todos os tipos de ações ou interromper uma ação em andamento. Por exemplo, eles podem injetar sua própria imagem no fluxo de fotos de outro usuário. Eles podem monitorar todas as suas ações na Tinder e podem gravá-las também. Quem quer que você goste ou planeje conversar com eles será conhecido por eles, o que é realmente perturbador.

As duas falhas coletivamente produzem graves problemas de privacidade para usuários da Tinder. Na sua publicação oficial no blog, os pesquisadores observaram: “As respostas determinarão, em última análise, a quantidade de empresas de esforço, Tinder, EA Games, e até mesmo a Uber colocada para garantir que suas aplicações sejam lançadas sem vulnerabilidade (ou tão perto quanto possível humanamente”.
Os pesquisadores também recomendaram que os fabricantes de aplicativos implementassem métodos de teste de segurança (Pentest) confiáveis ​​e atualizados para proteger os dados dos usuários e a privacidade. Por outro lado, eles orientam os usuários a usar esses serviços com cautela e nunca os usam em redes públicas wi-fi.

 

A prova de conceito para demonstrar as vulnerabilidades da Tinder também foi construído por pesquisadores da Checkmarx, que foi apelidado de TinderDrift. Quando é executado em um laptop, que está conectado a qualquer rede sem fio, ele irá recriar automaticamente toda a sessão e categorizar as fotos conforme aprovado, combinado e rejeitado em tempo real.

Fonte: https://www.hackread.com/tinder-flaw-exposes-user-swipe-match-photos-to-strangers/