Due vulnerabilità permetterebbero a un malintenzionato di vedere le foto pubblicate e le azioni degli utenti
Un malintenzionato potrebbe entrare nei profili e vedere le foto pubblicate e visualizzate dagli utenti. Infatti, Tinder non protegge le fotografie con il protocollo HTTPS. Il tutto, sia nella versione per Android, che in quella per iOS, dell’applicazione. Scoperte dai ricercatori della compagnia israeliana Checkmarx , si tratta di due vulnerabilità presenti nel sistema di sicurezza basato sulla crittografia.
Le falle permetterebbero a un soggetto malintenzionato non solo di visualizzare qualsiasi foto pubblicata ma anche di guardare gli scatti altrui selezionati dagli utenti. Senza dimenticare la possibilità di trasformare questi ultimi in contenuti inappropriati o dannosi, ingannando l’utente stesso. E se, come puntualizza Endgadget , un hacker potrebbe fare ben poco, a parte ottenere informazioni sulle azioni e preferenze sessuali dei soggetti spiati, allo stesso tempo è chiaro che in questo modo si mette a rischio la privacy delle persone, esponendole a ricatti ed estorsioni. Per dimostrare la presenza delle vulnerabilità i ricercatori di Checkmarx hanno creato Tinder Drift: un software che, una volta collegato alla stessa rete wi fi di un utente, è in grado di intercettare le immagini. Senza dimenticare che, sulla base delle dimensioni dei dati trasmessi, è in grado di identificare quello che un profilo sta facendo: «Uno swipe a sinistra sono 278 byte mentre uno swipe a destra sono 341 byte», spiega, in un articolo pubblicato su Wired, il ricercatore Erez Yalon. «Possiamo simulare esattamente, tutto quello che un utente vede sullo schermo del suo dispositivo», continua. Endgadget ha interpellato Tinder e la compagnia americana ha confermato le vulnerabilità. In una nota stampa ha assicurato che saranno risolte, aggiungendo che le piattaforme web e mobile sono già dotate di un sistema di sicurezza basato sulla crittografia per quanto riguarda le immagini del profilo. Mentre verrà implementato a breve anche nell’applicazione.
La Stampa
