I ricercatori di Kaspersky Lab hanno scoperto numerose vulnerabilità nelle più celebri app di dating che potrebbero portare alla perdita di dati personali con conseguenze anche gravi per gli utenti. Analizzando 9 delle applicazioni più popolari al mondo, gli esperti di sicurezza dell’azienda hanno scoperto che alcune di queste app offrono livelli molto bassi di protezione dei dati.
Secondo il recente report “Dangerous Liaisons: is everyone doing it online?”, una persona su tre nel mondo usa attualmente i servizi di dating online. Tuttavia, con la crescente diffusione di questi servizi aumentano i rischi per la sicurezza, in quanto molti servizi di dating chiedono agli utenti di condividere informazioni personali. L’indagine di Kaspersky Lab ha confermato che gli utenti affrontano molti rischi quando usano le app di online dating. Ad esempio, è possibile identificarli ottenendo nomi e cognomi dai profili social o scoprire dove si trovano nel mondo reale usando i dati di geolocalizzazione. Inoltre, gli utenti rischiano di perdere l’accesso ai propri profili o di far cadere le proprie informazioni personali nelle mani sbagliate.
Ecco l’elenco delle app analizzate: Tinder, Bumble, OK Cupid, Badoo, Mamba, Zoosk, Happn, WeChat e Paktor, in tutti i casi sia per Android che per iOs.
Gli esperti di Kaspersky Lab hanno scoperto in diverse di queste applicazioni un comune rischio di sicurezza, legato all’autenticazione basata su token usata dalle app di dating per i processi di registrazione e di login. Su richiesta di un server, viene infatti creato un token per identificare in modo univoco ciascun utente e solitamente viene richiesto l’accesso a un account Facebook, che permette di accedere alle informazioni generali sull’utente, come il nome e il cognome, l’indirizzo email e l’immagine del profilo. In questo modo, le applicazioni ricevono tutte le informazioni necessarie per autenticare l’utente sui propri server. Tuttavia, secondo quanto emerso dalla ricerca, i token spesso vengono archiviati o usati in modo non sicuro e possono, quindi, essere facilmente rubati. Di conseguenza, estranei possono temporaneamente accedere agli account delle vittime anche senza conoscere il nome utente e la password.
A causa di questa vulnerabilità, gli utenti potrebbero affrontare un’ulteriore minaccia relativa alla sicurezza della cronologia dei messaggi presente sul dispositivo, che può essere facilmente letta da estranei. Questa minaccia è particolarmente rilevante per gli utenti dei dispositivi Android. Alcuni di essi, sui quali non sono stati installati gli aggiornamenti dei software, presentano infatti vulnerabilità che consentono agli hacker di ottenere l’accesso di root al dispositivo, che può servire per ottenere informazioni personali, comprese quelle sull’attività degli utenti nelle app di dating come i messaggi scritti e le foto visualizzate.
Inoltre, gli utenti di 6 delle applicazioni analizzate possono essere geolocalizzati. In alcune delle app, infatti, i ricercatori di Kaspersky Lab hanno scoperto pericoli nel processo di trasmissione delle informazioni. Sebbene la maggior parte delle applicazioni usi Ssl (Secure Sockets Layer) per proteggere la comunicazione con i server, alcuni dati vengono inviati attraverso il protocollo Http e non vengono criptati. Ciò offre l’opportunità di intercettare le comunicazioni, che spesso contengono informazioni personali come la posizione dell’utente, i profili visitati, i messaggi, informazioni sul dispositivo, e così via. Usando una connessione non sicura, i cyber criminali possono persino ottenere il controllo dell’account della vittima.
“La nostra ricerca dimostra che gli utenti delle app di dating dovrebbero fare maggiore attenzione alla sicurezza informatica, poiché molti servizi non sono protetti da molti tipi di attacchi. Inoltre, gli utenti si mettono spesso in pericolo condividendo informazioni personali sensibili sui propri profili, come la scuola frequentata o il posto di lavoro. Queste informazioni possono essere usate dai cyber criminali per scoprire i veri account delle vittime su Facebook o LinkedIn o persino per attività di stalking“, ha commentato Morten Lehn, General Manager Italy di Kaspersky Lab.
Per proteggere i dati Kaspersky Lab consiglia agli utenti di evitare wi-fi pubblici che offrono una protezione limitata; usare una Vpn per garantire una connessione sicura; non condividere informazioni sensibili; e installare una soluzione di sicurezza affidabile sul proprio dispositivo, come Kaspersky Internet Security for Android.
