Ingegneri informatici di origine spagnola, Marc Pratllusá e Oriol Martínez, specializzati in sicurezza informatica, hanno trovato unfallimento abbastanza grave dell'applicazione di appuntamenti Tinder Pratllusá e Martínez, senza essere hacker informatici o cose del genere, si sono resi conto che un difetto di progettazione nell'applicazione potrebbe consentire a chiunque con una conoscenza minima dei computer, di riconoscere quale latitudine e longitudine sono le persone con cui hai "accoppiato" nell'app.Gli ingegneri hanno scoperto il bug per caso, ispezionando altre app come Wallapop, Facebook o Spotify per motivi professionali, ed è stato allora che hanno scoperto chel'app trasmetteva la posizione in coordinate invece che in distanza come dovrebbe essere.
Il funzionamento di questa applicazione è molto semplice, la persona che la utilizza, scorre tra le foto degli utenti che corrispondono ai dati inseriti e quando a qualcuno piacciono, li segnano, se la persona che hanno segnato corrisponde, ci sarà un corrispondenza Sotto questa premessa d'uso, gli ingegneri ha scoperto che poteva identificare la posizione esatta delle persone con cui erano abbinati L'errore persisteva anche dopo che bloccava l'utenteE diciamo era, al passato, perché Gli ingegneri di Tinder si sono presi la responsabilità di risolverlo, senza avvisare gli utenti del bug , agendo come se non fosse successo niente.
Ma la cosa più preoccupante è che questo bug nell'applicazione non solo riportava la posizione in quel momento, ma indicava ogni volta che ci spostavamo, che permetteva agli utenti di essere controllati da altri utenti come se fosse un sistema di geolocalizzazione.
Tinder non ha segnalato nulla, ha solo commentato a EL PAíS che «La privacy e la sicurezza dei nostri utenti è la nostra massima priorità. Non stiamo parlando di vulnerabilità specifiche che potremmo trovare per proteggerli". Ma, a quanto pare, da quando gli ingegneri hanno segnalato il bug agli sviluppatori dell'app, ci sono voluti tre mesi per risolverlo.
Per accedere a queste informazioni, gli ingegneri catalani dovevano solo installare un server proxy tra il loro telefono e il server Tinder. Con questo elemento puoi leggere le informazioni che vengono inviate al telefono dell'utente.
Una volta installato il proxy e osservati i fallimenti, hanno deciso di creare profili falsi per eseguire diversi test al fine di verificarne l'esistenza dell'errore di delega. E in effetti l'errore esisteva e sono stati in grado di verificare la posizione esatta di diverse persone come si può vedere nella foto precedente Non si sa ancora quanto tempo sia passato in atto o quante persone sono state in grado di usarlo maliziosamente, anche se possiamo confermare che sono passati tre mesi da quando Pratllusá e Martínez l'hanno scoperto e fino a quando Tinder l'ha risolto.
Fonte: EL PAÍS
