Exame Logo

Falha no Tinder podia entregar localização dos usuários

A brecha, já corrigida, foi encontrada no final de 2013 e se baseava no valor da distância que era listado na API da versão do aplicativo para iOS

EXAME.com (EXAME.com)
DR

Da Redação

Publicado em 19 de fevereiro de 2014 às 21h58.

Especialistas de segurança da Inside Security divulgaram nesta quarta-feira uma falha no Tinder que podia entregar a localização quase exata dos usuários a um invasor.

A brecha, já corrigida, foi encontrada no final de 2013 e se baseava no valor da distância que era listado na API da versão do aplicativo para iOS, logo abaixo dos amigos e dos interesses em comum.

De acordo com o post no blog da companhia de segurança, o problema aparecia no endpoint “users”, que dava informações relacionadas ao ID do usuário. Além da biografia, do nome, do aniversário e do gênero, a solicitação feita pelo app trazia também nos resultados contadores de amigos e de interesses em comum e de distância.

O número desse último era a metade exata da distância exibida na tela do app, “o suficiente para fazer uma triangulação realmente precisa”, nas palavras de um dos especialistas da Inside.

A técnica é usada por sistemas de GPS ou de monitoramento de posição por redes móveis, e se resume, de certa forma, a usar três ou mais pontos em distâncias diferentes para encontrar uma intersecção entre todos eles. A imagem acima ilustra melhor esse conceito.

Um dos responsáveis por encontrar a brecha no Tinder chegou até a criar uma aplicação que se aproveitava dessa brecha. Bastava digitar o número de identificação de um usuário – também obtido pela API – para que o webware localizasse a pessoa. Seria a ferramenta ideal para um stalker ou mesmo um ex-namorado, e justamente por isso não chegou a ser colocada no ar.

A Inside Security relatou a falha aos desenvolvedores do aplicativo em outubro do ano passado, e a correção foi feita, aparentemente, em dezembro.

Os especialistas tiraram a prova em janeiro, e concluíram que, de fato, a falha fora consertada – embora ela tenha passado pelo menos quatro meses incólume. Isso porque o Tinder havia corrigido, em junho (ou trocado por essa mais recente), uma brecha ainda pior, que entregava dados precisos de latitude e longitude dos usuários.

Veja também

Especialistas de segurança da Inside Security divulgaram nesta quarta-feira uma falha no Tinder que podia entregar a localização quase exata dos usuários a um invasor.

A brecha, já corrigida, foi encontrada no final de 2013 e se baseava no valor da distância que era listado na API da versão do aplicativo para iOS, logo abaixo dos amigos e dos interesses em comum.

De acordo com o post no blog da companhia de segurança, o problema aparecia no endpoint “users”, que dava informações relacionadas ao ID do usuário. Além da biografia, do nome, do aniversário e do gênero, a solicitação feita pelo app trazia também nos resultados contadores de amigos e de interesses em comum e de distância.

O número desse último era a metade exata da distância exibida na tela do app, “o suficiente para fazer uma triangulação realmente precisa”, nas palavras de um dos especialistas da Inside.

A técnica é usada por sistemas de GPS ou de monitoramento de posição por redes móveis, e se resume, de certa forma, a usar três ou mais pontos em distâncias diferentes para encontrar uma intersecção entre todos eles. A imagem acima ilustra melhor esse conceito.

Um dos responsáveis por encontrar a brecha no Tinder chegou até a criar uma aplicação que se aproveitava dessa brecha. Bastava digitar o número de identificação de um usuário – também obtido pela API – para que o webware localizasse a pessoa. Seria a ferramenta ideal para um stalker ou mesmo um ex-namorado, e justamente por isso não chegou a ser colocada no ar.

A Inside Security relatou a falha aos desenvolvedores do aplicativo em outubro do ano passado, e a correção foi feita, aparentemente, em dezembro.

Os especialistas tiraram a prova em janeiro, e concluíram que, de fato, a falha fora consertada – embora ela tenha passado pelo menos quatro meses incólume. Isso porque o Tinder havia corrigido, em junho (ou trocado por essa mais recente), uma brecha ainda pior, que entregava dados precisos de latitude e longitude dos usuários.

Acompanhe tudo sobre:AppsHackersseguranca-digital

Mais lidas

exame no whatsapp

Receba as noticias da Exame no seu WhatsApp

Inscreva-se

Mais de Tecnologia

Mais na Exame