Le app di incontri online sono sicure?

Affidiamo alle app di incontri online i nostri segreti più intimi. Ma come vengono gestite le nostre informazioni?

Andare alla ricerca della propria dolce metà online, che sia per tutta la vita o solo per una notte, è una ormai pratica usuale; le app di incontri online fanno parte della nostra vita quotidiana. Per trovare il partner ideale, gli utenti di queste app sono pronti a rivelare il proprio nome, che lavoro fanno e dove, che posti frequentano e tante altre informazioni. Sono app che contengono informazioni piuttosto personali e a volte anche foto senza veli (o quasi). Ma i dati sono gestiti con la dovuta attenzione? Kaspersky Lab ha messo alla prova la loro sicurezza.

I nostri esperti hanno analizzato le più popolari app mobile di incontri online (Tinder, Bumble, OkCupid, Badoo, Mamba, Zoosk, Happn, WeChat, Paktor) e identificato le principali minacce per gli utenti. Abbiamo informato in anticipo gli sviluppatori in merito alle vulnerabilità riscontrate, alcune dovrebbero essere già state ora che abbiamo pubblicato questo articolo risolte, altre lo saranno nel prossimo futuro. In ogni caso, non tutti gli sviluppatori hanno promesso di intervenire su tutte.

Minaccia 1: chi siete?

I nostri ricercatori hanno scoperto che quattro delle nove app analizzate consentirebbero a potenziali criminali di risalire a chi si nasconde dietro un nickname, utilizzando i dati forniti dagli stessi utenti. Ad esempio, Tinder, Happn e Bulmble consentono a chiunque di vedere dove lavora o studia l’altra persona, se specificato. Mediante questa informazione, si può risalire agli account sui social network e scoprire il vero nome. Happn, in particolare, utilizza gli account Facebook per lo scambio di dati con il server. Con un minimo impegno, chiunque può rintracciare nome e cognome degli utenti Happn, così come tante altre informazioni dei profili Facebook.

E se qualcuno intercetta il traffico da un dispositivo personale su cui è installato Paktor, la sorpresa è che si possono visualizzare gli indirizzi email degli utenti della app.

Nel 100% dei casi è possibile , a partire da un profilo Happn o Paktor, rintracciare la persona in questione sugli altri social network; la percentuale scende al 60% per Tinder e al 50% per Bumble.

Minaccia 2: dove siete?

Se qualcuno vuole sapere dove vi trovate, sei app su nove potranno dare una mano. Solo OkCupid, Bumble e Badoo proteggono l’ubicazione dell’utente. Tutte le altre app indicano la distanza tra voi e la persona di vostro interesse. Muovendovi un po’ e collegando i dati della distanza reciproca, è facile determinare l’esatta ubicazione di chi vi piace.

Happm non solo mostra quanti metri vi separano da un altro utente, ma anche il numero di volte in cui le vostre strade si sono incrociate, rendendo il compito ancora più facile. È di fatto la funzionalità più importante della app, incredibile ma vero.

Minaccia 3: trasferimento non protetto dei dati

La maggior parte delle app trasferisce i dati sul server mediante un canale SSL cifrato; tuttavia, ci sono alcune eccezioni.

Come hanno scoperto i nostri ricercatori, una delle app meno sicure in tal senso è Mamba. Il modulo di analytics utilizzato nella versione Android non cifra i dati che riguardano il dispositivo (modello, numero di serie etc) e la versione iOS si collega al server in HTTP e trasferisce tutti i dati non cifrati (quindi non protetti), messaggi compresi. Questi dati non solo sono visibili a tutti ma possono essere modificati. Ad esempio, è possibile cambiare il messaggio “Come va?” in una richiesta di denaro.

Mamba non è l’unica app  che consente di gestire l’account di qualcun altro grazie a una connessione non protetta; lo stesso vale per Zoosk. Tuttavia, i nostri ricercatori sono riusciti a intercettare i dati di Zoosk solo quando venivano caricati foto e video nuovi: dopo essere stati avvisati, gli sviluppatori hanno risolto subito il problema.

Anche le versioni Android di Tinder, Paktor e Bumble, e la versione iOS di Badoo caricano le foto mediante il protocollo HTTP, il che consentirebbe a un cybercriminale di scoprire quali profili sta visitando la vittima.

Utilizzando le versioni Androdi di Paktor, Badoo e Zoosk altre informazioni importanti possono finire nelle mani sbagliate, come dati del GPS e info sul dispositivo.

Minaccia 4: attacchi Man-In-the-Middle (MITM)

Quasi tutti i server delle app di incontri online utilizzano protocolli HTTPS: ciò vuol dire che, verificando l’autenticità del certificato, ci si può proteggere dagli attacchi Man-In-The-Middle, grazie ai quali il traffico della vittima viene deviato su un server falso. I ricercatori hanno installato un certificato falso per vedere se le app ne verificassero l’autenticità; in caso negativo, spiare il traffico degli utenti sarebbe compito facile.

Cinque app su nove erano vulnerabili ad attacchi MITM, in quanto non verificavano l’autenticità dei certificati. E quasi tutte le app autorizzavano l’accesso attraverso Facebook, per cui la mancanza di un certificato attendibile poteva portare al furto di chiavi di accesso temporanee. I token sono validi due o tre settimane, periodo durante il quale i cybercriminali potrebbero avere accesso ad alcuni dati dei social network delle vittime, oltre all’accesso pieno al profilo sulla app di incontri.

Minaccia 5: accessi da amministratore

Indipendentemente dalla tipologia di dati che queste app immagazzinano sul dispositivo, tali dati sono disponibili per chi gode di accessi da amministratore. Ciò riguarda soprattutto i dispositivi Android, è piuttosto raro che un malware riesca ad ottenere tali accessi su iOS.

Il risultato della nostra ricerca è piuttosto scoraggiante: otto app su nove, versione Android, forniscono eccessive informazioni ai cybercriminali con accesso da amministratore. I ricercatori sono riusciti a ottenere token di accesso per i social network da quasi tutte le app in questione. Le credenziali erano cifrate ma si poteva risalire facilmente alla chiave per decriptarle direttamente dalla app.

Tinder, Bumble, OkCupid, Badoo, Happn e Paktor immagazzinano la cronologia delle conversazioni e le foto degli utenti assieme ai token. Chi ha l’accesso da amministratore può ottenere facilmente questi dati confidenziali.

Conclusioni

Lo studio dimostra che molte app di incontri non gestiscono i dati con l’attenzione che meritano. Non è un motivo per smettere di usarle, ma bisogna capire quali sono i rischi e, se possibile, minimizzarli.

Cosa fare

  • Utilizzare una VPN;
  • Installare una soluzione di sicurezza adeguata su tutti i dispositivi;
  • Condividere con sconosciuti solo le informazioni strettamente necessarie.

Cosa non fare

  • Aggiungere i propri account social al profilo pubblico nelle app di incontri, dire il proprio nome e cognome reali o dove si lavora;
  • Mostrare il proprio indirizzo email, personale o di lavoro;
  • Utilizzare le app di incontri collegandosi a reti Wi-Fi non protette.
Consigli