Apps de namoro são seguros?

Procurar por sua alma gêmea online – seja um relacionamento duradouro ou para um caso de uma noite – é algo comum. Aplicativos de namoro são parte do nosso cotidiano. A fim de encontrar o parceiro ideal, usuários estão dispostos a revelar seus nomes, empregos, local de trabalho, onde gostam de se divertir e muito mais. Essas plataformas tendem a proteger informações de natureza delicada, como no caso de um nude. Mas com que cuidado esses apps protegem seus dados? Decidimos investigar.
Nossos especialistas estudaram os aplicativos mobile de namoro mais famosos (Tinder, Bumble, OkCupid, Badoo, Mamba, Zoosk, Happn, WeChat, Paktor), e identificaram as maiores ameaças. Informamos aos desenvolvedores sobre as vulnerabilidades, e na ocasião da publicação deste artigo, algumas foram corrigidas, embora outros tenham se comprometido a resolvê-las em futuro próximo. Entretanto, nem todos prometeram corrigir todas.

Ameças 1. Quem é você?

Nossos pesquisadores descobriram que quatro dos nove aplicativos investigados permitem que criminosos descubram quem está por trás de um apelido, com base em dados fornecidos pelos próprios usuários. Por exemplo, Tinder, Happn e Bumble possibilitam que qualquer um visualize o local de trabalho e estudo de um usuário. Por meio dessa informação, é possível encontrar suas contas nas mídias sociais e descobrir os nomes reais. O Happn, em particular, utiliza os dados do Facebook. Com pouco esforço, qualquer um pode descobrir nomes e sobrenomes de um usuário e outras informações do perfil.

Se alguém intercepta tráfego de um dispositivo com o Paktor instalado, esses podem ser pegos de surpresa ao descobrir que permitem a qualquer um a visualização de seu endereço de e-mail ou outros usos de aplicativos.

No fim, é possível identificar usuários do Happn e Paktorem em outras mídias 100% das vezes, com taxas de sucesso de 60% para o Tinder e 50% no Bumble.

Ameaça 2. Onde você está?

Se alguém quer saber onde você anda, seis dos nove aplicativos o ajudarão. Apenas o OkCupid, Bumble e Badoo mantêm a localização do usuário escondida. Todos os outros aplicativos indicam a distância entre você e a pessoa na qual você tem interesse. Ao se mover e registrar as oscilações nas distâncias, é fácil determinar a localização de alguém.

O Happn não apenas mostra a distância como também o número de vezes que seus caminhos se cruzaram, tornando ainda mais fácil encontrar alguém. Essa é na verdade a principal função do aplicativo.

As mentiras nos sites de relacionamento

Ameaça 3. Transferência desprotegida de dados

A maioria dos aplicativos transfere para servidores de dados por meio de canais criptografados SSL, mas há exceções.

Como nossos pesquisadores descobriram, um dos apps menos seguros nesse quesito foi o Mamba. O módulo analítico usado na versão Android não criptografa dados sobre o dispositivo (modelo, número de série, entre outros), e a versão iOS conecta-se a servidores por meio de transferências HTTP completamente desprotegidas, incluindo mensagens. Esses dados não estão apenas visíveis, mas também suscetíveis a modificação. Por exemplo, é possível a terceiros transformar um “Olá, como vai?” em um pedido de dinheiro.

O Mamba não é o único aplicativo que permite que você gerencie a conta de alguém por meio de conexões inseguras. O Zoosk permite o mesmo. Entretanto, nossos pesquisadores foram capazes de interceptar dados desse apenas no que tange upload de vídeos e fotos – e os desenvolvedores consertaram a situação prontamente mediante nossa notificação.

Tinder, Paktor, Bumble para Android, e Badoo para o iOS também transferem fotos por HTTP, permitindo ao cibercriminoso encontrar por quais perfis suas vítimas em potencial estão navegando.

Nas versões Android do Paktor, Baddo e Zoosk, outros detalhes – como dados de GPS e informações do dispositivo – podem acabar em mãos erradas.

Ameaça 4. Ataques Man-in-the-middle (MITM)

Quase todos os servidores de aplicativos e namoro online usam protocolo HTTPS. Isso significa que, por meio da certificação da autenticidade, alguém pode se proteger contra-ataques MITM, nos quais o tráfego da vítima passa por um servidor clandestino a caminho do verdadeiro. Os pesquisadores instalaram certificados falsos para descobrir se esses aplicativos checariam sua autenticidade; se não, estariam facilitando a espionagem da atividade de seus usuários.

No fim, a maioria dos pesquisados (cinco de nove) são vulneráveis a ataques desse tipo por não realizarem tal verificação. Quase todos os aplicativos realizam autorizações por meio do Facebook, de modo que a falta de certificados de verificação pode levar ao roubo da chave de acesso temporária do token. Esses são válidos por 2-3 semanas, ao longo das quais o criminoso poderia acessar a conta de mídia social da vítima, além do acesso aos seus perfis em apps de namoro.

Ameaça 5. Direitos de superusuário

Independentemente do tipo de dado armazenado no dispositivo pelo aplicativo, esses podem ser acessados com direitos de superusuário. Isso diz respeito apenas ao Android; malwares que alcancem esse nível de autorização no iOS são raros.

O resultado da análise não é animador: oito de nove aplicativos para Android estão no ponto de fornecer informação demais para cibercriminosos com acesso desse tipo. Portanto, os pesquisadores foram capazes de obter tokens de autorização para mídias sociais de quase todos os aplicativos. As credenciais estavam criptografadas, mas com senhas extraíveis do próprio aplicativo.

Tinder, Bumble, OkCupid, Badoo, Happ e Paktor armazenam histórico de mensagem e fotos de usuários com os tokens. Então, o detentor de privilégios de superusuário pode facilmente acessar informação confidencial.

Conclusão

O estudo mostra que muitos aplicativos de namoro não lidam com os dados sensíveis de seus usuários com cuidado suficiente. Isso não é razão para não utilizar esses serviços – você simplesmente precisa entender o problema e minimizar os riscos.

O que fazer:

  • Use VPN;
  • Instale uma solução de segurança em todos os seus dispositivos.
  • Compartilhe informações com estranhos apenas se necessário.

O que não fazer:

  • Adicionar sua conta de mídia social ao seu perfil público em aplicativos de namoro; fornecer seu nome real, sobrenome, local de trabalho;
  • Revelar seu endereço de e-mail, seja pessoal ou de trabalho;
  • Usar sites de namoro em redes WiFi desprotegidas.

You may also like...