.
Pesquisadores de segurança revelaram uma série de falhas no aplicativo de namoro Feeld que podem ser usadas para acessar todos os tipos de dados privados do usuário, incluindo as imagens mais sensíveis que não devem ser mantidas ou compartilhadas.
O Feeld atende a “indivíduos de mente aberta” — aqueles especificamente interessados em explorar modelos de relacionamento alternativos, como não monogamia ética, poliamor, swing, taras e outros.
Com isso em mente, é compreensível que os usuários esperem que os criadores do aplicativo, que foi lançado há pouco mais de dez anos, já tenham reforçado sua segurança.
Infelizmente, a julgar pelo trabalho realizado pela empresa de pentesting Fortbridge, sediada no Reino Unido, todos os dados necessários para salvar mensagens privadas das pessoas — incluindo fotos e vídeos enviados em salas de bate-papo — e para visualizar as correspondências de outras pessoas, entre outros, poderiam ser facilmente interceptados e inspecionados usando uma ferramenta de proxy de rede.
Com isso queremos dizer: É possível usar um proxy de rede para dar uma olhada nos dados que estão sendo trocados entre os servidores Feeld e seu aplicativo no seu dispositivo enquanto você usa o software, e nesses dados, há muitas informações que realmente não deveriam estar lá. Essas informações são diretamente sobre outro usuário que não deveriam ter sido enviadas, ou dados que podem ser usados em solicitações subsequentes aos servidores Feeld para procurar mais coisas que, novamente, não deveriam ser disponibilizadas.
Por exemplo, interceptar uma solicitação para visualizar os “curtidos” de um perfil — uma lista de pessoas que curtiram o perfil do usuário — levou os pesquisadores a essencialmente darem a si mesmos benefícios de membros premium, como poder visualizar as informações completas do perfil daqueles que “curtiram” eles. Isso geralmente é restrito para usuários gratuitos que podem ver apenas um nome, com outros detalhes borrados.
Esse bug em particular foi sem dúvida o menos prejudicial das oito fraquezas de segurança destacadas pela Fortbridge, mas o método de exploração preparou o terreno para a descoberta de problemas mais sérios.
De fato, a interceptação de várias solicitações de aplicativos poderia ser usada para coletar dados como ID de usuário, idade, distância e fotos de perfil de qualquer indivíduo — pelo menos alguns dos quais poderiam ser usados para obter acesso a mais informações.
Bogdan Tiron, da Fortbridge, um consultor de segurança de aplicativos em nuvem e pentester, conseguiu extrair um ID de usuário de uma solicitação e, em seguida, ler as mensagens privadas desse usuário reutilizando o ID em outra solicitação, por exemplo. Mais especificamente, uma parte da API Feeld fornecerá o streamUserId de outro usuário e, em seguida, colocar esse valor em outra chamada de API para ler mensagens retornará as conversas de chat privadas dessa pessoa. Nada disso deveria acontecer.
Tiron também demonstrou em sua pesquisa que um usuário não autenticado poderia acessar as imagens e vídeos de outros usuários enviados por meio de salas de bate-papo privadas no aplicativo. Isso incluía mídia que os usuários configuravam especificamente para desaparecer após um determinado período de tempo, geralmente de 5 a 15 segundos.
Não parece ser complicado conseguir explorar essas vulnerabilidades
Novamente, usando uma ferramenta como o Burp Proxy e os dados coletados de solicitações anteriores, Tiron conseguiu apagar mensagens enviadas por usuários, recuperá-las e editar mensagens de outros usuários aparentemente por alguém que não estava na sala de bate-papo. Ele também conseguiu enviar mensagens para outros usuários em bate-papos existentes dos quais ele não era um participante. Nenhuma criptografia de ponta a ponta aqui.
Outras possibilidades incluíam visualizar as correspondências de outros usuários, forçar outro usuário a “curtir” o próprio perfil e editar as informações do perfil de outros, incluindo nome, sexualidade, idade e muito mais.
Comentando as descobertas, o especialista em segurança de aplicativos Sean Wright disse O Registro: “Além da vulnerabilidade que permite ignorar as limitações do nível de assinatura, o resto é bastante contundente e preocupante.
“Muitas informações usadas neste aplicativo serão incrivelmente pessoais. Essas vulnerabilidades podem ser aproveitadas por todos os tipos de atores nefastos, de um ex ciumento a um perseguidor, a criminosos organizados alavancando golpes do tipo chantagem.
“A capacidade de ler mensagens e anexos de outras pessoas é especialmente preocupante. Eles serão incrivelmente pessoais e privados. Para piorar as coisas, não parece ser complicado conseguir explorar essas vulnerabilidades.”
Tiron apresentou suas descobertas à Feeld em 8 de março. De acordo com o cronograma de divulgação fornecido por ele, a Fortbridge concordou em diversas ocasiões em atrasar a publicação das descobertas de Tiron para permitir que a Feeld implementasse as correções necessárias.
Em termos gerais, uma janela de 90 dias é vista no setor de segurança como o equilíbrio certo entre dar aos desenvolvedores tempo suficiente para implementar uma correção e publicar as descobertas para alertar o público sem atrasos indevidos.
No entanto, seis meses já se passaram desde o relatório inicial de Tiron para Feeld. A última resposta da empresa foi em 16 de agosto, dizendo a ele: “Implementamos as mudanças necessárias para mitigar as descobertas restantes.”
Isso parece que as correções necessárias foram aplicadas, mas de acordo com as notas do histórico de versões deixadas na página da App Store do Feeld, não houve menção de segurança ou qualquer coisa parecida com uma melhoria de desempenho desde maio. Todas as atualizações desde então se concentraram em lançar novos recursos.
O Registro pediu para o Feeld comentar e ele não respondeu imediatamente.
No subreddit Feeld, os usuários não parecem satisfeitos com o tempo gasto para resolver os vários problemas.
Um deles disse: “O cronograma de divulgação do Feeld no final do post é bem irritante. O Feeld levou cinco meses para consertar essas enormes falhas de segurança. Se eles levassem isso a sério, deveriam ter alertado imediatamente os usuários de que literalmente tudo o que eles postaram estava comprometido e pausado as inscrições até que tudo fosse consertado.”
Outros, no entanto, ficaram menos incomodados com a notícia.
“Brincadeira com eles, sou exibicionista”, escreveu um deles. ®
.
