Grande violação de privacidade em aplicativos de namoro de nicho expõe fotos confidenciais de usuários
Como parte de uma investigação em larga escala sobre falhas de segurança em aplicativos iOS, o Cybernews descobriu problemas evidentes que podem ter resultado em um vazamento maciço de fotos privadas de vários aplicativos de namoro de nicho, todos de um tal de M.A.D. Mobile. Essas imagens não eram apenas de perfis e postagens públicas, mas também de bate-papos de usuários, e incluíam até mesmo aquelas removidas por moderadores. Não é preciso dizer que muitas dessas fotos eram de natureza explícita.
Cinco aplicativos da M.A.D. Mobile foram afetados - o BDSM People, o aplicativo de "namoro por açúcar" de luxo Chica e os aplicativos LGBT Pink, Brish e Translovefound. Todos esses aplicativos não só usavam uma arquitetura idêntica, mas também deixavam credenciais de segurança críticas como texto simples abertamente no código do aplicativo. Foram essas chaves secretas que levaram os pesquisadores aos buckets do Google Cloud Storage, onde as fotos estavam sem nenhum tipo de criptografia ou proteção por senha. Isso significa que qualquer pessoa com o URL, que foi exposto publicamente, poderia ter acessado a mídia.
É claro que, sempre que fotos privadas são potencialmente expostas a agentes mal-intencionadoshá o risco de assédio, extorsão e danos à reputação. No entanto, as consequências de uma violação de privacidade provavelmente seriam muito piores para os usuários de aplicativos especializados em namoro, especialmente porque a homossexualidade é ilegal em muitos países.
A escala do vazamento é impressionante - mais de 1,5 milhão de fotos carregadas por usuários, ou várias centenas de gigabytes de dados. É uma pequena pena que os dados expostos não contenham identidades de usuários, nomes de usuários, e-mails ou mensagens, mas uma simples pesquisa reversa de imagens poderia facilmente contornar isso. Notavelmente, todos os cinco aplicativos são exclusivos para iOS, sem versões para Android ou para a Web.
Os pesquisadores da Cybernews entraram em contato com a M.A.D. Mobile em janeiro, mas o vazamento permaneceu sem resposta. Temendo uma inação contínua por parte da empresa, e contra sua própria prática padrão, a Cybernews decidiu publicar um relatório sobre o problema antes que ele fosse resolvido. Foi somente depois que a BBC enviou um e-mail para a um representante da empresa respondeu dizendo que o problema havia sido corrigido e agradeceu aos pesquisadores pela ajuda.
Esse incidente apenas destaca o que muitos no domínio da segurança cibernética já sabem: aplicativos iOS de terceiros não são não são, de forma alguma, inerentemente seguros contra violações de dados. Na verdade, a investigação do Cybernews produziu um insight desconcertante. Dos 156.000 aplicativos que foram examinados (ou 8% de todos os aplicativos na Apple Store), descobriu-se que 71% dos aplicativos estavam expondo pelo menos um segredo. O código médio do aplicativo expôs 5,2 segredos.
A maior lição desse incidente é que os usuários devem evitar usar aplicativos de editores desconhecidos, especialmente quando se trata de informações altamente confidenciais. Especificamente, mídias confidenciais só devem ser compartilhadas em plataformas criptografadas e serviços que ofereçam não apenas algum grau de proteção, mas também responsabilidade pública.
