Os
pesquisadores da Kaspersky Lab descobriram uma série de
vulnerabilidades em aplicativos de encontros conhecidos, com potencial
de gerar consequências negativas para os usuários: desde a simples
identificação de uma pessoa específica, transmissões inseguras de dados
até vazamento de informações pessoais. Depois de analisar nove serviços
globais populares, descobrimos que alguns oferecem baixos níveis de
proteção de dados.
Os aplicativos de encontros estão se popularizando rapidamente no mundo todo. Segundo o recente relatório “Ligações perigosas: todo mundo está se envolvendo online?”, um terço das pessoas utilizam esse tipo de serviço. Mas, conforme o uso desses apps se tornam mais comuns, surge um problema de segurança importante, pois a maioria deles requer que os usuários compartilhem informações pessoais. Pensando nisso, uma equipe de pesquisadores da Kaspersky Lab decidiu investigar o nível de segurança deles. Foram realizadas análises detalhadas dos aplicativos de encontros mais conhecidos em várias regiões do mundo, procurando vulnerabilidades que poderiam afetar as vidas reais dos usuários e mudar seu status de "disponível" para "vítima".
A pesquisa mostrou que os usuários correm diversos riscos ao usar os aplicativos de encontros online. Por exemplo, é possível identificá-los procurando seus nomes e sobrenomes nos perfis de redes sociais e também encontrá-los no mundo real usando dados de geolocalização. Além disso, os usuários também podem perder o acesso suas contas ou seus dados pessoais podem cair em mãos erradas.
Nossos especialistas descobriram um risco à segurança, presente em vários apps, relacionado ao método de autenticação baseado em tokens usado por aplicativos de encontros nos processos de novos registros e inscrições. O token é criado por solicitação de um servidor para identificar o usuário de modo exclusivo e, em geral, solicita o acesso a uma conta do Facebook. Em seguida, ele dá acesso a informações gerais do usuário, como nome e sobrenome, o endereço de e-mail e a imagem de perfil do usuário. Usando esse método, os aplicativos recebem todos os dados necessários para permitir a autenticação do usuário em seus servidores. No entanto, de acordo com a pesquisa, muitas vezes os tokens são armazenados ou usados de modo inseguro e, portanto, podem ser facilmente roubados. Como resultado, invasores são capazes de obter acesso temporário às contas das vítimas, mesmo sem saber detalhes de login e senha.
Além dessa vulnerabilidade causada pelo armazenamento inseguro dos tokens, os usuários também podem enfrentar outra ameaça relacionada à segurança dos históricos de mensagens guardados no dispositivo, que podem ser acessados e lidos por invasores. Esses ataques são uma ameaça específica a usuários de dispositivos Android. Os dispositivos que executam software desatualizado têm vulnerabilidades não corrigidas que possibilitam o acesso de invasores à raiz do dispositivo, e isso pode ser usado para acessar informações privadas, inclusive de atividades do usuário em apps de encontros, como as mensagens trocadas e as fotos visualizadas.
Além disso, os usuários de seis dos aplicativos analisados podem ser detectados por sua localização. Em alguns deles, a Kaspersky Lab também identificou riscos no processo de transmissão de dados. Embora a maioria use o protocolo SSL (Secure Sockets Layer) para proteger a comunicação com os servidores, alguns dados são enviados via HTTP e não são criptografados. Assim, os hackers têm oportunidade de interceptar essa comunicação, que muitas vezes contém informações pessoais, como a localização do usuário, os perfis que ele visitou, mensagens, dados do dispositivo, etc. Se for usada uma conexão insegura, os invasores também podem obter o controle da conta da vítima.
“Nossa pesquisa mostra que os usuários de aplicativos de encontros devem ter muito cuidado com a cibersegurança, pois muitos desses serviços não estão protegidos contra vários tipos de ataques. Além disso, os usuários se colocam em perigo ao compartilhar informações pessoais sigilosas em seus perfis, como o local onde estudam ou trabalham. Armados com essas informações, é fácil para os invasores encontrar as contas reais das vítimas no Facebook e no LinkedIn. Isso também abre a possibilidade de perseguição, assediando os usuários e rastreando seus movimentos na vida real. Assim, os usuários devem monitorar com atenção a proteção de sua privacidade, sua segurança e seus dados ao marcar encontros online”, diz Roman Unuchek, especialista em segurança da Kaspersky Lab.
Para evitar que seus dados sejam roubados, a Kaspersky Lab recomenda:
Os aplicativos de encontros estão se popularizando rapidamente no mundo todo. Segundo o recente relatório “Ligações perigosas: todo mundo está se envolvendo online?”, um terço das pessoas utilizam esse tipo de serviço. Mas, conforme o uso desses apps se tornam mais comuns, surge um problema de segurança importante, pois a maioria deles requer que os usuários compartilhem informações pessoais. Pensando nisso, uma equipe de pesquisadores da Kaspersky Lab decidiu investigar o nível de segurança deles. Foram realizadas análises detalhadas dos aplicativos de encontros mais conhecidos em várias regiões do mundo, procurando vulnerabilidades que poderiam afetar as vidas reais dos usuários e mudar seu status de "disponível" para "vítima".
A pesquisa mostrou que os usuários correm diversos riscos ao usar os aplicativos de encontros online. Por exemplo, é possível identificá-los procurando seus nomes e sobrenomes nos perfis de redes sociais e também encontrá-los no mundo real usando dados de geolocalização. Além disso, os usuários também podem perder o acesso suas contas ou seus dados pessoais podem cair em mãos erradas.
Nossos especialistas descobriram um risco à segurança, presente em vários apps, relacionado ao método de autenticação baseado em tokens usado por aplicativos de encontros nos processos de novos registros e inscrições. O token é criado por solicitação de um servidor para identificar o usuário de modo exclusivo e, em geral, solicita o acesso a uma conta do Facebook. Em seguida, ele dá acesso a informações gerais do usuário, como nome e sobrenome, o endereço de e-mail e a imagem de perfil do usuário. Usando esse método, os aplicativos recebem todos os dados necessários para permitir a autenticação do usuário em seus servidores. No entanto, de acordo com a pesquisa, muitas vezes os tokens são armazenados ou usados de modo inseguro e, portanto, podem ser facilmente roubados. Como resultado, invasores são capazes de obter acesso temporário às contas das vítimas, mesmo sem saber detalhes de login e senha.
Além dessa vulnerabilidade causada pelo armazenamento inseguro dos tokens, os usuários também podem enfrentar outra ameaça relacionada à segurança dos históricos de mensagens guardados no dispositivo, que podem ser acessados e lidos por invasores. Esses ataques são uma ameaça específica a usuários de dispositivos Android. Os dispositivos que executam software desatualizado têm vulnerabilidades não corrigidas que possibilitam o acesso de invasores à raiz do dispositivo, e isso pode ser usado para acessar informações privadas, inclusive de atividades do usuário em apps de encontros, como as mensagens trocadas e as fotos visualizadas.
Além disso, os usuários de seis dos aplicativos analisados podem ser detectados por sua localização. Em alguns deles, a Kaspersky Lab também identificou riscos no processo de transmissão de dados. Embora a maioria use o protocolo SSL (Secure Sockets Layer) para proteger a comunicação com os servidores, alguns dados são enviados via HTTP e não são criptografados. Assim, os hackers têm oportunidade de interceptar essa comunicação, que muitas vezes contém informações pessoais, como a localização do usuário, os perfis que ele visitou, mensagens, dados do dispositivo, etc. Se for usada uma conexão insegura, os invasores também podem obter o controle da conta da vítima.
“Nossa pesquisa mostra que os usuários de aplicativos de encontros devem ter muito cuidado com a cibersegurança, pois muitos desses serviços não estão protegidos contra vários tipos de ataques. Além disso, os usuários se colocam em perigo ao compartilhar informações pessoais sigilosas em seus perfis, como o local onde estudam ou trabalham. Armados com essas informações, é fácil para os invasores encontrar as contas reais das vítimas no Facebook e no LinkedIn. Isso também abre a possibilidade de perseguição, assediando os usuários e rastreando seus movimentos na vida real. Assim, os usuários devem monitorar com atenção a proteção de sua privacidade, sua segurança e seus dados ao marcar encontros online”, diz Roman Unuchek, especialista em segurança da Kaspersky Lab.
Para evitar que seus dados sejam roubados, a Kaspersky Lab recomenda:
- Evitar usar pontos de acesso de Wi-Fi públicos, que oferecem proteção limitada;
- Usar uma VPN para garantir que sua conexão seja segura,
- Não compartilhar informações de identificação sigilosas, como local de estudo, trabalho, etc.,
- Instalar uma solução de segurança confiável em seu dispositivo, como o Kaspersky Internet Security for Android.
Para saber mais sobre as vulnerabilidades de aplicativos de encontros, leia nosso relatório em https://securelist.com/
