O popular aplicativo de namoro Tinder foi identificado com duas vulnerabilidades graves. Os especialistas em segurança identificaram um bug perigoso do Tinder, que pode expor as tentativas de erros e correspondências de usuários a estranhos. De acordo com as informações fornecidas, a falha foi identificada em novembro do ano passado, o problema ainda não foi resolvido.
O bug perigoso do Tinder expõe os dados dos usuários
O popular Tinder Foi descoberto que o aplicativo de namoro contém uma vulnerabilidade perigosa que permaneceu sem solução por algum tempo. Pesquisadores de segurança relataram um bug perigoso do Tinder que permite que usuários criminosos exponham dados privados de usuários conectados à mesma rede sem fio. Os especialistas observam que o relatório de vulnerabilidade foi enviado ao serviço em novembro em uma divulgação privada, no entanto, desde então, nenhuma correção foi liberada para o público. Para ser mais preciso, o bug real do Tinder consiste em duas falhas separadas.
o primeiro está associado ao processo de criptografia que ocorre durante a execução do aplicativo. Cada vez que um usuário do Tinder interage com o serviço, suas ações são enviadas para os servidores e os resultados são encaminhados para seus dispositivos (telefones ou tablets) de maneira segura. Uma falha neste processo permite que os criminosos obtenham informações sobre as fotos que estão vendo, na maioria dos casos, as do usuário com quem ele está visualizando ou conversando.
o segundo bug do Tinder realmente expõe os padrões de comportamento para certas ações por meio de vazamento de rede. Isso significa que os sinais do aplicativo podem ser interceptados e lidos por hackers. Usando scripts automatizados ou análise manual, eles podem detectar as interações dos usuários de todos os tipos - deslizando, mensagens e outras atividades.
Abuso de hacker do bug do Tinder
Ao abusar das falhas encontradas, os criminosos podem assumir o controle dos perfis dos usuários do Tinder, especificamente suas fotos de perfil. Existem dois cenários principais de ataque que são propostos pelos especialistas. O primeiro pode alterar a imagem do perfil para uma não adequada que viole os termos de uso do serviço e também pode assustar as correspondências encontradas. A outra consequência seria alterá-la para uma imagem publicitária para a promoção de produtos ou serviços fraudulentos.
A razão pela qual o bug do Tinder foi encontrado é que o serviço não implementou totalmente o protocolo de criptografia HTTPS. Acontece que a troca de correspondências do usuário acontece por meio de uma conexão HTTP insegura. Isso significa que os cenários comuns de interceptação de tráfego podem ser muito úteis ao ultrapassar perfis do Tinder. Existem três abordagens distintas que os hackers podem usar para abusar do serviço:
- infecção por malware - Quando os usuários do dispositivo são infectados com vírus que contêm código de Trojan. Ele pode espionar ativamente as ações dos usuários e retransmitir a atividade de rede para os operadores de hackers.
- Ataques man-in-the-middle - Usando gateways de rede comprometidos e outros equipamentos, os invasores podem recuperar o tráfego de rede dos dispositivos conectados.
- Traffic Sniffing - Os pesquisadores observam que uma das maneiras mais fáceis de manipular os perfis de destino é fazer com que os destinos se conectem a uma rede Wi-Fi pública. Como a criptografia HTTPS não é totalmente suportada, os hackers podem manipular diretamente os comandos de retorno. Esta é uma abordagem muito fácil de usar e adequada para locais como bibliotecas, cafés e aeroportos onde muitos usuários do Tinder podem ser encontrados.
Um aplicativo de prova de conceito em tempo real foi criado pelos pesquisadores para demonstrar que o bug do Tinder permaneceu sem correção. Os usuários devem esperar um patch de segurança crítico e instalá-lo assim que estiver disponível. Enquanto isso, eles podem se proteger evitando redes Wi-Fi públicas.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: