Tinder ha recentemente risolto, con una patch, un problema che permetteva a chiunque avesse voluto di prendere possesso dei profili di qualcun’altro. Questo secondo un rapporto redatto da Appsecure. Al momento non sembrerebbe esserci prova che qualcuno abbia usato questa falla, o semplicemente nessuno si è accorto di niente. La notizia in sé ci ricorda solo che molte delle app che usiamo siano fragili dal punto di vista della sicurezza.
Facebook e Tinder
La vulnerabilità era dovuta all’integrazione di due sistemi fragili usati per “certificare” gli account dell’app. Uno dei due sistemi è proprio di Tinder mentre l’altro va ricercato in Facebook, più nelle specifico nell’Account Kit del social network che serve per gestire gli accessi. L’account kit ha esposto i token di accesso degli utenti, chiamati anche token aks, rendendoli effettivamente accessibili a tutti tramite una semplice richiesta API con un numero di telefono associato.
Teoricamente questo non sarebbero dovuto bastare per far prendere il controllo dell’account ad altri oltre che al proprietario, ma l’implementazione con Facebook ha reso possibile la cosa. Il sistema che permette i login sull’applicazione non stava verificando correttamente i token rispetto al’ID cliente associato. Inutile dire che prendendo possesso dell’account, il malintenzionato, o l’amico buontempone, aveva accesso completo al profilo e alle chat ad esso collegato.
Appsecure ha segnalato tale vulnerabilità sia a Facebook che a Twitter all’inizio dell’anno. Come ricompensa ha ricevuto dei premi in denaro, rispettivamente 5,000 e 1,250 dollari, in virtù del programma di caccia al bug. Le due parti presi in causa non comunque ancora fatto alcun commento in merito.
