Nell’era di internet, anche le relazioni possono essere “contaminate” dalla tecnologia. Ne sono un esempio le diverse app di dating presenti sul PlayStore e sull’AppStore che ci permettono di conoscere un partner stabile o occasionale. La più famosa è sicuramente Tinder. Peccato che usare questa app metta i nostri dati a rischio…o quasi. Scopriamo insieme le falle individuate (sia per Android che per iOS) dal team di ricerca della Checkmarx Security Research.
La fiamma, iconico logo di Tinder. Fonte: tinder.com.Cos’è Tinder?
Per capire queste vulnerabilità, bisogna sapere come funziona Tinder. In breve (per chi non sa di cosa parliamo), Tinder è un’app che permette a due utenti di chattare solo dopo aver reciprocamente mostrato interesse. Per mostrare interesse dovrete toccare il simbolo del cuore o scorrere (in gergo “swipe”) a destra del profilo che l’app ci sottopone. Se non volete avere a che fare con quel profilo, basta fare uno swipe a sinistra o toccare il simbolo della ×. Se anche l’altro utente vi mette un cuore, allora avrete un “match” e potrete iniziare a chattare.
Niente HTTPS
La prima falla (CVE-2018-6017) riguarda il modo in cui i dati vengono trasmessi. Forse un po’ ingenuamente, Tinder utilizza il protocollo HTTP invece del più sicuro protocollo HTTPS. Avete presente quel lucchetto verde che appare (dovrebbe apparire) prima dell’indirizzo internet del sito che state visitando? Ecco, quello vi mostra che lo scambio di dati che avviene in quel momento è sicuro e la vostra privacy protetta. Visto che invece Tinder usa l’HTTP per le vostre foto, se qualche brutto ceffo si collega alla vostra stessa rete Wi-Fi, potrà vedere il vostro profilo e le relative immagini.
Crittografia inutile
Allora le scelte sono al sicuro? Sbagliato. La seconda falla (CVE-2018-6018) va a colpire anche swipe e match, dati teoricamente dotati di crittografia. Infatti, questi fanno comunque passare informazioni utili a capire che tipo di azione ha svolto l’utente, che è deducibile dal numero di byte. Rifiutare qualcuno corrisponde a 278 byte. Mostrare apprezzamento verso qualcuno equivale a 374 byte. Avete ottenuto un match? Buon per voi! Fanno 581 byte, grazie. Unite questi dati alla prima vulnerabilità e saprete esattamente che cosa ha fatto l’utente-vittima.
Tinder Drift
Il team di Checkmarx ha dunque realizzato un software in grado di sfruttare le falle di Tinder, dimostrando come – indipendentemente dal sistema operativo utilizzato – un utente malevolo possa sapere in tempo reale come state usando il vostro profilo. Il team ha battezzato questo programma con il nome di Tinder Drift. Qui sotto trovate il video di dimostrazione di Checkmarx.
La risposta di Tinder
Tinder ha tenuto a specificare tramite The Verge che le foto potenzialmente a rischio sono quelle del profilo, per cui si tratta già di per sé di foto di dominio pubblico, se consideriamo che si tratta di un’app gratuita. Non mancano le frasi di rito sul fatto di lavorare costantemente per la sicurezza degli utenti. Forse si tratta di una risposta insoddisfacente, ma gli stessi esperti di Checkmarx riportano tramite Dafna Zahger (product marketing manager) che al momento non è accaduto nulla di rilevante: nessuno si è impossessato delle vostre password né ci sono stati danni di tipo economico per gli utenti. Insomma, evitate Wi-Fi pubbliche e sarete al sicuro. Che ne pensate di questa risposta di Tinder? Temete per i vostri dati o non avete mai usato questa app? Fatecelo sapere con un commento.
Davide Camarda
