Fotos no Tinder são fáceis de espiar, alertam especialistas
Falta de encriptação faz com que atacantes com as ferramentas certas possam ver as fotografias.
Cuidado ao utilizar o Tinder em redes de Internet pública, como um café, aeroporto, ginásio ou loja: com algum conhecimento de informática, outras pessoas podem espiar as imagens que alguém está a ver na aplicação. O alerta foi feito por um grupo de investigadores de uma empresa de cibersegurança de Telavive, a Checkmarx. Num relatório – que inclui vídeos no YouTube – a equipa mostra que o Tinder ainda não utiliza a chamada “encriptação https” nas fotografias, incluindo nas versões da aplicação para iOS e Android.
O https, a sigla inglesa para protocolo de transferência de hipertexto seguro, é uma forma de encriptação que protege os dados enviados pela Internet. É frequentemente identificado por um pequeno cadeado no canto superior esquerdo de um navegador da Internet e tem-se tornado a norma online.
O Tinder, porém, opta por ligações http para as suas imagens que são a versão mais antiga e menos segura do protocolo, ou seja, quando a aplicação envia um pedido ao servidor de Internet para descarregar uma imagem, os utilizadores numa rede pública podem ver a imagem com ferramentas de análise de tráfego. A equipa da Checkmarx demonstra um ataque com a aplicação TinderDrift, criada pelos próprios.
“Embora não exista nenhum roubo de credenciais ou impacto financeiro imediato neste processo, um atacante pode utilizar as imagens como chantagem para um utilizador mais vulnerável”, frisam os investigadores da Checkmarx em comunicado. Os atacantes poderão “ameaçar utilizadores que estejam a trair os seus parceiros, os que publicam imagens sensíveis ou utilizadores que divulgam informação sensível sobre a sua sexualidade”, alertam. Em teoria, um atacante também pode substituir uma imagem na aplicação por um link para um site que contenha um vírus.
Lançado em 2012, o Tinder diz no seu site que já permitiu 20 mil milhões de contactos entre utilizadores, em 196 países. A plataforma faz isto ao apresentar fotografias de pessoas que o utilizador pode querer conhecer. Se o utilizador deslizar o dedo para a direita no ecrã e a pessoa na fotografia fizer o mesmo, podem começar a falar por mensagens na aplicação. Ao deslizar o dedo para a esquerda, rejeita-se o perfil de alguém.
A Checkmarx diz que notificou o Tinder do problema em Novembro, mas a empresa ainda não o resolveu.
O PÚBLICO tentou contactar o Tinder para esclarecimentos, mas não obteve resposta até à hora de publicação desta notícia. Num comunicado que circula na imprensa online, enviado ao site de tecnologia ZDNet, o Tinder nota que está a trabalhar para expandir a protecção das imagens na aplicação móvel. “Como qualquer empresa de tecnologia, estamos constantemente a melhorar as nossas defesas na batalha contra hackers com más intenções”, lê-se na mensagem.
A informação textual, como os nomes, mensagens e informação no perfil dos utilizadores, já está encriptada e fora do alcance de ataques deste tipo. Porém, os investigadores de Telavive descrevem o método de encriptação de algumas informações como previsíveis.
Diferentes acções na aplicação (por exemplo, aceitar ou rejeitar uma imagem) resultam em padrões de bytes diferentes, mas reconhecíveis. Aceitar uma imagem é sempre representado por 374 bytes, e rejeitar uma imagem é representado por 278 bytes. O problema, dizem, pode ser facilmente corrigido ao preencher a informação relativa a estas acções com dados extras, para que tenham o mesmo número de bytes.
A Checkmarx diz que o objectivo da divulgação pública – após ter alertado o Tinder para o problema – é mostrar que “a ilusão de que o formato http pode ser utilizado em aplicações e sites sensíveis tem de desaparecer”. Para os especialistas, “o http está vulnerável a espionagem, modificação de conteúdo e introdução de ameaças”.