Tinder: falha no aplicativo entregava localização quase exata dos usuários

Considerado um dos aplicativos mais populares (e polêmicos) do mundo da tecnologia, o Tinder conquistou recentemente o prêmio de melhor startup de 2013 na última edição do Crunchies, evento dos blogs de tecnologia americanos TechCrunch, GigaOM e Venture Beat. Voltado para paquera, o app mostra ao usuário possíveis pretendentes de acordo com os interesses e distância dos perfis.

Mas para quem utiliza a plataforma e morre de medo dos stalkers, é melhor ficar atento. Pesquisadores de segurança da Inside Security revelaram, nessa quarta-feira (19), que uma falha no Tinder podia entregar a localização quase exata dos usuários a terceiros. O problema aparecia no final da página que dava informações relacionadas ao ID do internauta, incluindo dados como nome, aniversário, gênero e biografia.

Por sorte, o erro, descoberto em outubro do ano passado, já foi corrigido desde dezembro e, ao que tudo indica, afetou apenas a versão do aplicativo para iOS, da Apple. A vulnerabilidade se baseava na distância que era listada na API da ferramenta, logo abaixo de onde ficam exibidos os amigos e interesses em comum. De acordo com os especialistas da Inside Security, o número dessa distância era a metade exata da distância exibida na tela do app.

A falha funcionava da seguinte maneira: através de sistemas de GPS ou de monitoramento de posição por redes móveis, o invasor podia fazer uma triangulação precisa da localização quase exata do usuário. Ou seja, bastava usar três ou mais pontos em distâncias diferentes para então encontrar um local que ligasse todos esses pontos, como você vê na demonstração feita pelos pesquisadores:

O problema era ainda mais grave porque foi possível criar uma aplicação específica para se aproveitar da brecha. Depois de obter a API do aplicativo, o invasor digitava o número de identificação de um usuário para que o programa exibisse sua localização. O teste foi feito por um dos especialistas da Inside Security que ajudou a identficar o bug e, segundo a companhia, novos testes foram feitos em janeiro que comprovaram que a falha já não existe mais.

Este não é o primeiro erro grave que aparece no Tinder. Em julho do ano passado, uma vulnerabilidade entregava a localização exata de um usuário, incluindo dados precisos de latitude e longitude. Mais tarde, em novembro, um desenvolvedor holandês detectou que uma outra brecha possibilitava descobrir informações pessoais do internauta, entre elas perfil do Facebook e e-mail.

Leia também: Tinder está fazendo sucesso entre atletas das Olimpíadas de Inverno