Aplicativos de encontros e namoros em dispositivos BYOD podem apresentar riscos não só para os usuários, mas também para o ambiente corporativo. Confira nesse artigo algumas falhas de segurança comuns nesses apps e o que elas podem representar para seu ambiente.

Ao armazenar informações pessoais e conversas privadas, os apps de namoro colocam os usuários em posição vulnerável. Contudo, as empresas que adotam modelo de BYOD também podem estar em risco por conta desses aplicativos. Nos últimos anos, foram descobertos diversas fraquezas e vulnerabilidades de segurança em aplicativos conhecidos como o Happn e o Tinder.

Por exemplo, um estudo realizado pela Kaspersky em 2017 examinou 9 apps desse tipo e descobriu que eles eram suscetíveis a ataques do tipo man-in-the-middle, colocando mensagens e tokens de acesso em risco. Em adição, os pesquisadores encontraram as páginas de cerca de 60% dos usuários em mídias sociais como Facebook e LinkedIN, além de nomes completos e outras informações pessoais.

Como já vimos em casos famosos, como o da Target, se uma vulnerabilidade é bem explorada em um dispositivo BYOD, os hackers podem potencialmente obter acesso não apenas à informações pessoais, mas também a informações sensíveis que coloquem a empresa em risco. Dessa forma, profissionais que tenham aplicativos corporativos ou dados relacionados ao trabalho em seus dispositivos aumentam o risco corporativo ao fornecer mais uma porta de entrada para os criminosos roubarem dados sensíveis.

Para complicar a situação, não são poucas pessoas que fazem uso desse tipo de aplicativo. De acordo com estudo da Statisa, 76% das pessoas possuem instalado algum tipo de aplicativo de relacionamento. Para agravar ainda mais esse cenário, cerca de 75% dos usuários tendem a usar uma única senha para aplicativos pessoais e profissionais. Ou seja, os criminosos vão atacar os que forem mais vulneráveis e utilizar a informação obtida para atingir os potes de ouro, os aplicativos corporativos.

 

Riscos de Segurança dos Aplicativos de Relacionamento

Um relatório da IBM chamado “Dating Apps Vulnerabilities & Risk to Enterprises” listou diversas vulnerabilidades, fraquezas e ameaças comuns a esses aplicativos. Por exemplo, as vulnerabilidades de médio e alto risco estavam presentes em pelo menos 60% dos principais aplicativos, e incluíam: cross-site scripting (XSS) via man-in-the-middle, flags de debug, RNG muito fracos e phishing via MitM.

Um ataque XSS-MitM explora uma vulnerabilidade em um site confiável, visitado pela vítima, o criminoso usa o site para entregar um script malicioso. Uma política de “mesma origem” requer que todo o conteúdo em uma página seja entregue pela mesma fonte. Quando esta política não está ativa, o atacante é capaz de injetar um script e modificar a página para seus propósitos. Por exemplo, o atacante pode extrair os dados que vão permitir que ele se passe por um usuário autenticado ou insira um código malicioso que o browser irá executar.

Além desse exemplo, a IBM alertou que o microfone ou câmera do usuário podem ser ativados remotamente por meio de um aplicativo de relacionamento vulnerável, o que pode fatalmente levar a escuta de conversas sensíveis em ambientes corporativos. A ativação de funções de Bluetooth também é algo que pode ser abusado pelos hackers.

Um dos riscos de segurança mais comuns dos apps de relacionamento são relacionados à criptografia. Enquanto muitos já implementaram o HTTPS para proteger a transmissão de dados privados, pesquisadores já descobriram que muitas dessas implementações estão incompletas ou vulneráveis a MitM. Por exemplo, o aplicativo Badoo irá fazer upload de dados sem criptografia, incluindo localização de GPS, operadora de telefonia e outros caso o HTTPS não funcione de primeira. Por fim, diversos aplicativos não checam a validade dos certificados SSL, o que permite aos hackers spoofar certificados legítimos e espionar as transmissões de dados.