O Tinder não possui a criptografia necessária para manter fotos, swipes e matchs seguros. Foto: Pexels.
Apesar de ser o aplicativo de relacionamento mais popular do mundo, o Tinder não possui a criptografia necessária para manter fotos, swipes e matchs seguros.
De acordo com a Wired, pesquisadores da empresa de segurança de aplicativos Checkmarx demonstraram que o Tinder ainda não possui criptografia HTTPS básica para fotos.
Com isso, apenas por estar na mesma rede wi-fi que como qualquer usuário do Tinder para iOS ou Android, os pesquisadores poderiam ver qualquer foto que o usuário selecionasse, ou mesmo injetar suas próprias imagens em seu fluxo de fotos.
Enquanto outros dados nos aplicativos da Tinder estão criptografados com HTTPS, a Checkmarx descobriu que ele ainda vaza informações suficientes para distinguir os comandos criptografados, permitindo que um hacker na mesma rede assista cada deslizada para a esquerda ou direita (ações que marcam as fotos como "desejadas"ou não).
Para demonstrar as vulnerabilidades do Tinder, a Checkmarx criou o TinderDrift. Ao ser executado em um laptop conectado a qualquer rede wi-fi que conte com outros usuários online, ele reconstrói automaticamente a sessão inteira.
A vulnerabilidade central que a TinderDrift explora é a surpreendente falta de criptografia HTTPS da Tinder.
Os pesquisadores ainda descobriram que diferentes eventos no aplicativo produzem diferentes padrões de bytes que se tornam reconhecíveis, mesmo de forma criptografada.
O Tinder representa um deslize para a esquerda, para rejeitar a foto, por exemplo, em 278 bytes. Um deslize para a direita é representado como 374 bytes. Já o match fica em 581.
Combinando esse truque com suas fotos interceptadas, a TinderDrift pode mesmo rotular as fotos conforme aprovado, rejeitado ou com match em tempo real.
A Checkmarx diz que notificou a Tinder sobre suas descobertas em novembro, mas a empresa ainda não corrigiu os problemas.
Em uma declaração à Wired, um porta-voz da Tinder diz que "como qualquer outra empresa de tecnologia, estamos constantemente melhorando nossas defesas na batalha contra hackers mal-intencionados".
O porta-voz acrescentou que a versão baseada na web do Tinder está de fato criptografada com HTTPS, e que a empresa tem planos para oferecer essa proteção de forma mais ampla.
"Estamos trabalhando para criptografar imagens no aplicativo também. No entanto, não entramos em mais detalhes sobre as ferramentas de segurança específicas que usamos, ou os aprimoramentos que podemos implementar para evitar dicas aos hackers", completa.
Júlia Merker 563o2f
Repórter no Baguete Diário