A Checkmarx relatou duas vulnerabilidades críticas na aplicação móvel Tinder, e que permite que os hackers tenham acesso às iterações dos utilizadores sem o seu consentimento.

A empresa de segurança lançou um relatório: “Are You on Tinder? Someone May Be Watching You Swipe.” que descreve as duas vulnerabilidades identificadas. Uma delas é sobre o protócolo de comunicação do Tinder, que permite aos hackers aceder as fotos e ver as correspondencias (matches) das vitimas.

A primeira falha, CVE-2018-6017, aproveita o fato do aplicativo não usar uma ligação segura HTTPs  para exibir as imagens de perfil dos utilizadores. Um hacker é capaz de monitorizar o tráfego de rede, e, através disso, identificar quais os perfis Tinder que um utilizador está a visualizar (Man-in-the-Middle attack).

Erez Yalon, researcher da Checkmarx adianta, “podemos simular exatamente o que o utilizador vê no seu smarthpone, o que eles estão fazendo, quais são suas preferências sexuais, muita informação“.

 

Gosta do que está a ler? Não perca mais nenhum artigo subscrevendo a nossa newsletter agora mesmo!

 

 

A segunda falha, CVE-2018-6018, permite ao utilizador perceber quando um utilizador “desliza” ou “gosta” de um perfil do Tinder. Apesar de usar HTTPs para esse efeito, é possível identificar que operação é realizada (“deslize” ou “gosto”) através do tamanho do pacote na rede. Rejeições de match requerem 278 bytes, as aprovações requerem 374 bytes e os gostos exigem 581 bytes. Através de um código para calcular os dados da segunda falha e combiná-lo com a primeira, um hacker poderia facilmente descobrir quais perfis são aceites e rejeitados.

Esta empresa de segurança construiu uma prova de concento para demonstrar estas vulnerabilidades.