.
Principais conclusões
- As vulnerabilidades do Feeld permitem que hackers acessem informações confidenciais dos usuários facilmente.
- Hackers podem explorar as vulnerabilidades para roubar fotos, mensagens e até mesmo controlar perfis de usuários.
- A Feeld afirma ter corrigido os bugs, mas ainda assim é recomendável ter cautela.
Aplicativos de namoro são um tesouro de informações profundamente pessoais, onde as pessoas vão para conhecer um novo parceiro ou não. A segurança é essencial, pois as pessoas compartilham informações privadas e conversas pessoais; violações de dados que afetam aplicativos de namoro sempre têm consequências severas.
E foi exatamente isso que aconteceu com o aplicativo de namoro Feeld, potencialmente comprometendo os dados de seus milhões de usuários por meio de uma série de vulnerabilidades descobertas pela empresa de pesquisa de segurança Fortbridge.
O que aconteceu com o aplicativo de namoro Feeld?
A Fortbridge, uma empresa de testes de penetração, foi encarregada de examinar extensivamente o aplicativo de namoro Feeld, sondando fraquezas e vulnerabilidades que pudessem expor os dados dos usuários. O extenso blog da Fortbridge sobre o processo revelou oito vulnerabilidades com potencial para roubo de dados.
É importante notar que, embora a Fortbridge tenha encontrado uma série de problemas, as vulnerabilidades foram descobertas durante um processo de hacking ético. Não há indicação de que hackers mal-intencionados tenham tirado vantagem das vulnerabilidades.
No início de 2024, a Fortbridge começou a testar a penetração do aplicativo de namoro Feeld. Eles aprenderam rapidamente o quão fácil era acessar informações às quais não deveriam ter acesso. Em 6 de março, a Fortbridge apresentou suas descobertas à Feeld. Antes de publicar uma postagem de blog expondo as muitas vulnerabilidades, a Feeld pediu à Fortbridge para atrasar a publicação para que pudessem resolver os bugs do software. Em 16 de agosto, a Feeld escreveu à Fortbridge que os bugs haviam sido corrigidos e que eles poderiam publicar a postagem do blog.
No entanto, apesar de corrigir as vulnerabilidades, o Feeld não mencionou nada sobre atualizações de segurança em suas notas de histórico de versões na App Store ou na Play Store.
Que informações os hackers poderiam obter se as vulnerabilidades fossem exploradas?
Os bugs do Feeld facilitaram o acesso de hackers às informações de acesso, apesar de não terem permissão para isso. Essa vulnerabilidade é chamada de broken access control, e é uma das vulnerabilidades mais comuns e devastadoras encontradas em aplicativos.
Ao explorar essa vulnerabilidade, um hacker pode acessar informações confidenciais do usuário, como fotos, vídeos, mensagens, idade, orientação sexual e localização.
O mais surpreendente é que a Fortbridge usou o que a maioria consideraria software básico de segurança e rede para acessar os dados. Para acessar as informações, os pesquisadores da Fortbridge usaram a ferramenta de proxy de rede Burp Suite para interceptar dados enviados de servidores Feeld. Uma vez interceptados, os pesquisadores descobriram que era incrivelmente simples acessar uma série de informações que não deveriam estar disponíveis, variando de dados confidenciais do usuário a mensagens e fotos privadas, até o uso dos dados interceptados para empurrar mais para dentro da conta.
Junto com o acesso a fotos e vídeos (mesmo que essas fotos sensíveis fossem configuradas para desaparecer após 5-15 segundos), os pesquisadores também podiam ler mensagens entre usuários e enviar mensagens em nome de um usuário, dando a eles controle total sobre os perfis dos usuários. Falando ao The Register, o especialista em segurança de aplicativos Sean Wright fez uma acusação contundente sobre a segurança do aplicativo Feeld:
Muitas informações usadas neste aplicativo serão incrivelmente pessoais. Essas vulnerabilidades podem ser aproveitadas por todos os tipos de atores nefastos, de um ex ciumento a um perseguidor, a criminosos organizados alavancando golpes do tipo chantagem.
A capacidade de ler mensagens e anexos de outras pessoas é especialmente preocupante. Eles serão incrivelmente pessoais e privados. Para piorar as coisas, não parece ser complicado conseguir explorar essas vulnerabilidades.
O Feeld corrigiu as vulnerabilidades?
Embora o Feeld tenha informado à Fortbridge que as falhas de segurança foram corrigidas, o Feeld não mostrou nenhuma indicação de que o fez por meio de notas do histórico de versões.
Além disso, a Fortbridge ainda precisa confirmar se as medidas necessárias foram tomadas para remediar esses bugs de segurança e proteger as informações do usuário. Até lá, recomendamos usar o Feeld com cautela.
Se você estiver preocupado com a possibilidade de hackers terem acesso às suas informações, recomendamos excluir o aplicativo e usar um dos muitos outros aplicativos de namoro disponíveis no mercado.
.
