{"id":14403,"date":"2017-10-25T12:04:33","date_gmt":"2017-10-25T10:04:33","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=14403"},"modified":"2019-11-22T11:09:52","modified_gmt":"2019-11-22T09:09:52","slug":"dating-apps-threats","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/dating-apps-threats\/14403\/","title":{"rendered":"Le app di incontri online sono sicure?"},"content":{"rendered":"

Andare alla ricerca della propria dolce met\u00e0 online, che sia per tutta la vita o solo per una notte, \u00e8 una ormai pratica usuale; le app di incontri online fanno parte della nostra vita quotidiana. Per trovare il partner ideale, gli utenti di queste app sono pronti a rivelare<\/a> il proprio nome, che lavoro fanno e dove, che posti frequentano e tante altre informazioni. Sono app che contengono informazioni piuttosto personali e a volte anche foto senza veli (o quasi). Ma i dati sono gestiti con la dovuta attenzione? Kaspersky Lab ha messo alla prova la loro sicurezza.<\/p>\n\n

I nostri esperti hanno analizzato le pi\u00f9 popolari app mobile di incontri online<\/a> (Tinder, Bumble, OkCupid, Badoo, Mamba, Zoosk, Happn, WeChat, Paktor) e identificato le principali minacce per gli utenti. Abbiamo informato in anticipo gli sviluppatori in merito alle vulnerabilit\u00e0 riscontrate, alcune dovrebbero essere gi\u00e0 state ora che abbiamo pubblicato questo articolo risolte, altre lo saranno nel prossimo futuro. In ogni caso, non tutti gli sviluppatori hanno promesso di intervenire su tutte.<\/p>\n

Minaccia 1: chi siete?<\/strong><\/h3>\n

I nostri ricercatori hanno scoperto che quattro delle nove app analizzate consentirebbero a potenziali criminali di risalire a chi si nasconde dietro un nickname, utilizzando i dati forniti dagli stessi utenti. Ad esempio, Tinder, Happn e Bulmble consentono a chiunque di vedere dove lavora o studia l\u2019altra persona, se specificato. Mediante questa informazione, si pu\u00f2 risalire agli account sui social network e scoprire il vero nome. Happn, in particolare, utilizza gli account Facebook per lo scambio di dati con il server. Con un minimo impegno, chiunque pu\u00f2 rintracciare nome e cognome degli utenti Happn, cos\u00ec come tante altre informazioni dei profili Facebook.<\/p>\n

E se qualcuno intercetta il traffico da un dispositivo personale su cui \u00e8 installato Paktor, la sorpresa \u00e8 che si possono visualizzare gli indirizzi email degli utenti della app.<\/p>\n

Nel 100% dei casi \u00e8 possibile , a partire da un profilo Happn o Paktor, rintracciare la persona in questione sugli altri social network; la percentuale scende al 60% per Tinder e al 50% per Bumble.<\/p>\n

Minaccia 2: dove siete?<\/strong><\/h3>\n

Se qualcuno vuole sapere dove vi trovate, sei app su nove potranno dare una mano. Solo OkCupid, Bumble e Badoo proteggono l\u2019ubicazione dell\u2019utente. Tutte le altre app indicano la distanza tra voi e la persona di vostro interesse. Muovendovi un po\u2019 e collegando i dati della distanza reciproca, \u00e8 facile determinare l\u2019esatta ubicazione di chi vi piace.<\/p>\n

Happm non solo mostra quanti metri vi separano da un altro utente, ma anche il numero di volte in cui le vostre strade si sono incrociate, rendendo il compito ancora pi\u00f9 facile. \u00c8 di fatto la funzionalit\u00e0 pi\u00f9 importante della app, incredibile ma vero.<\/p>\n

Minaccia 3: trasferimento non protetto dei dati<\/strong><\/h3>\n

La maggior parte delle app trasferisce i dati sul server mediante un canale SSL cifrato; tuttavia, ci sono alcune eccezioni.<\/p>\n

Come hanno scoperto i nostri ricercatori, una delle app meno sicure in tal senso \u00e8 Mamba. Il modulo di analytics utilizzato nella versione Android non cifra i dati che riguardano il dispositivo (modello, numero di serie etc) e la versione iOS si collega al server in HTTP e trasferisce tutti i dati non cifrati (quindi non protetti), messaggi compresi. Questi dati non solo sono visibili a tutti ma possono essere modificati. Ad esempio, \u00e8 possibile cambiare il messaggio \u201cCome va?\u201d in una richiesta di denaro.<\/p>\n

Mamba non \u00e8 l\u2019unica app\u00a0 che consente di gestire l\u2019account di qualcun altro grazie a una connessione non protetta; lo stesso vale per Zoosk. Tuttavia, i nostri ricercatori sono riusciti a intercettare i dati di Zoosk solo quando venivano caricati foto e video nuovi: dopo essere stati avvisati, gli sviluppatori hanno risolto subito il problema.<\/p>\n

Anche le versioni Android di Tinder, Paktor e Bumble, e la versione iOS di Badoo caricano le foto mediante il protocollo HTTP, il che consentirebbe a un cybercriminale di scoprire quali profili sta visitando la vittima.<\/p>\n

Utilizzando le versioni Androdi di Paktor, Badoo e Zoosk altre informazioni importanti possono finire nelle mani sbagliate, come dati del GPS e info sul dispositivo.<\/p>\n

Minaccia 4: attacchi Man-In-the-Middle (MITM)<\/strong><\/h3>\n

Quasi tutti i server delle app di incontri online utilizzano protocolli HTTPS: ci\u00f2 vuol dire che, verificando l\u2019autenticit\u00e0 del certificato, ci si pu\u00f2 proteggere dagli attacchi Man-In-The-Middle, grazie ai quali il traffico della vittima viene deviato su un server falso. I ricercatori hanno installato un certificato falso per vedere se le app ne verificassero l\u2019autenticit\u00e0; in caso negativo, spiare il traffico degli utenti sarebbe compito facile.<\/p>\n

Cinque app su nove erano vulnerabili ad attacchi MITM<\/a>, in quanto non verificavano l\u2019autenticit\u00e0 dei certificati. E quasi tutte le app autorizzavano l\u2019accesso attraverso Facebook, per cui la mancanza di un certificato attendibile poteva portare al furto di chiavi di accesso temporanee. I token sono validi due o tre settimane, periodo durante il quale i cybercriminali potrebbero avere accesso ad alcuni dati dei social network delle vittime, oltre all\u2019accesso pieno al profilo sulla app di incontri.<\/p>\n

Minaccia 5: accessi da amministratore<\/strong><\/h3>\n

Indipendentemente dalla tipologia di dati che queste app immagazzinano sul dispositivo, tali dati sono disponibili per chi gode di accessi da amministratore. Ci\u00f2 riguarda soprattutto i dispositivi Android, \u00e8 piuttosto raro che un malware riesca ad ottenere tali accessi su iOS.<\/p>\n

Il risultato della nostra ricerca \u00e8 piuttosto scoraggiante: otto app su nove, versione Android, forniscono eccessive informazioni ai cybercriminali con accesso da amministratore. I ricercatori sono riusciti a ottenere token di accesso per i social network da quasi tutte le app in questione. Le credenziali erano cifrate ma si poteva risalire facilmente alla chiave per decriptarle direttamente dalla app.<\/p>\n

Tinder, Bumble, OkCupid, Badoo, Happn e Paktor immagazzinano la cronologia delle conversazioni e le foto degli utenti assieme ai token. Chi ha l\u2019accesso da amministratore pu\u00f2 ottenere facilmente questi dati confidenziali.<\/p>\n

Conclusioni<\/strong><\/h3>\n

Lo studio dimostra che molte app di incontri non gestiscono i dati con l\u2019attenzione che meritano. Non \u00e8 un motivo per smettere di usarle, ma bisogna capire quali sono i rischi e, se possibile, minimizzarli.<\/p>\n

Cosa fare<\/strong><\/h3>\n