Pesquisadores de segurança da Kaspersky exploraram vulnerabilidades nos principais aplicativos de namoro do mundo. Entre os apps, estão o Tinder, Ok Cupid, Badoo, Bumble, Happn, WeChat, Mamba, Zoosk e Paktor.
As vulnerabilidades exploradas permitiram que os pesquisadores descobrissem a localização de usuários, além de nomes reais, informações de login (email e senha), histórico de mensagens com outros usuários e até perfis visitados.
Os aplicativos foram explorados tanto na versão para Android quanto para iOS
Agora, como os hackers da Kaspersky conseguiram realizar essa ação? Não foi via phishing nem invasão de servidor: os apps possuem uma encriptação HTTPS mínima, o que deixa fácil acessar o dado de usuário.
Todos os exploits explorados podem ser acompanhados na página oficial da Kaspersky, a SecurePoint. O exploit mais impressionante que você vai encontrar atinge a versão Android do Tinder, Paktor e Bumble e a versão iOS do Badoo: todas as fotos enviadas por usuários não possuem encriptação HTTP. Dessa maneira, os pesquisadores conseguiram checar quais perfis clicaram nas fotos — algo privado nestes apps.
Outro exploit grave, que atinge usuários Android, utiliza acesso root via apps como o KingoRoot. Com direitos de "superusuário", os pesquisadores encontraram o token de autenticação do Facebook para o Tinder e ganharam acesso completo para uma conta. Sendo assim, foram capazes de ler mensagens trocadas com outros usuários.
Se você tiver usando apps de namoro como esses, nunca especifique o local de trabalho
A simplicidade de uma engenharia também funciona: "No Tinder, Happn e Bumble, os usuários podem adicionar informações sobre seu trabalho e educação. Usando essa informação, em 60% dos casos identificamos as páginas pessoais de usuários em várias mídias sociais, incluindo Facebook e LinkedIn, bem como seus nomes e sobrenomes completos".
Como dica, o pessoal da Kaspersky comentou o seguinte: se você tiver usando apps de namoro como esses, nunca especifique o local de trabalho (ou qualquer local físico onde você possa estar) e nunca acesse esses apps usando WiFi público — além de manter um app antivírus instalado no smartphone, claro.
Fontes
Categorias