Uma falha –já corrigida– no aplicativo de paquera Tinder podia expor a localização de usuários da rede social, segundo a consultoria de segurança Include Security.
A brecha fazia com que, de posse apenas da cidade e do número de identificação no Tinder, fosse possível localizar qualquer usuário com precisão estimada de 30 metros.
De acordo com Max Veytsman, analista da Include Security, o problema teve origem em uma atualização da rede social para corrigir uma outra falha, ainda mais grave, que também poderia expor dados de localização de usuários.
A Include Security reportou o problema ao Tinder no fim do ano passado e informou que em janeiro ele estava corrigido.
| Divulgação |
 |
| Falha no Tinder permitia fazer triangulação de usuários |
A BRECHA
A brecha explora um conceito simples de triangulação amplamente usado em sistemas de rastreamento. Grosso modo, a triangulação permite determinar a localização de um alvo medindo sua distância para três pontos distintos (vide foto acima).
O Tinder se baseia em geolocalização para arranjar encontros virtuais entre usuários fisicamente próximos e, por isso, permite a cada usuário saber a distância entre ele mesmo e os outros.
O que a Include Security descobriu é que o aplicativo media essa distância de forma bastante precisa e que era possível simular estar em três lugares diferentes para fazer a triangulação.
A consultoria chegou a criar um aplicativo on-line –que, por razões de segurança, não foi disponibilizado para o público– mostrando o conceito. Em pouco segundos, tendo apenas informações como a cidade e o número de identificação do usuário, o aplicativo consegue localizar um usuário no mapa.