Una massiccia violazione della privacy nelle app di incontri di nicchia espone le foto sensibili degli utenti
Nell'ambito di un'indagine su larga scala sulle falle nella sicurezza delle app iOS, Cybernews ha scoperto problemi evidenti che potrebbero aver causato una massiccia fuga di foto private da una serie di app di incontri di nicchia, tutte provenienti da M.A.D. Mobile. Queste immagini non provenivano solo da profili e post pubblici, ma anche dalle chat degli utenti, e includevano anche quelle rimosse dai moderatori. Inutile dire che molte di queste foto erano di natura esplicita.
Sono state colpite cinque applicazioni di M.A.D. Mobile: BDSM People, l'applicazione di 'sugar dating' di lusso Chica e le applicazioni LGBT Pink, Brish e Translovefound. Tutte queste app non solo utilizzavano un'architettura identica, ma avevano lasciato le credenziali di sicurezza critiche in chiaro nel codice dell'app. Sono state queste chiavi segrete a condurre i ricercatori ai bucket di Google Cloud Storage, dove le foto si trovavano senza alcun tipo di crittografia o protezione con password. Ciò significava che chiunque avesse l'URL - che era pubblicamente esposto - avrebbe potuto accedere ai media.
Naturalmente, ogni volta che le foto private sono potenzialmente esposte a attori malintenzionatic'è il rischio di molestie, estorsioni e danni alla reputazione. Tuttavia, le conseguenze di una violazione della privacy sarebbero probabilmente molto più gravi per gli utenti di app specializzate in incontri, soprattutto se l'omosessualità è illegale in molti Paesi.
La portata della fuga di notizie è sbalorditiva: oltre 1,5 milioni di foto caricate dagli utenti, ovvero diverse centinaia di gigabyte di dati. È una piccola fortuna che i dati esposti non contengano le identità degli utenti, i nomi utente, le e-mail o i messaggi, ma una semplice ricerca inversa di immagini potrebbe facilmente aggirare il problema. In particolare, tutte e cinque le applicazioni sono esclusive di iOS, senza versioni Android o web.
I ricercatori di Cybernews hanno contattato per la prima volta M.A.D. Mobile a gennaio, ma la fuga di notizie è rimasta senza risposta. Temendo una continua inazione da parte dell'azienda, e contro la sua stessa prassi standard, Cybernews ha deciso di pubblicare un rapporto sul problema prima che venisse risolto del problema prima che venisse risolto. Solo dopo che la BBC ha inviato un'e-mail a https://www.bbc.com/news/articles/c05m5m5v327o all'azienda, un rappresentante ha risposto dicendo che il problema era stato effettivamente risolto, ringraziando i ricercatori per il loro aiuto.
Questo incidente non fa altro che evidenziare ciò che molti nel settore della cybersicurezza già sanno: le applicazioni iOS di terze parti non sono non sono affatto intrinsecamente sicure contro le violazioni dei dati. Infatti, l'indagine di Cybernews ha prodotto un'intuizione sconcertante. Su 156.000 app esaminate (ovvero l'8% di tutte le app presenti sul Apple Store), il 71% delle app è risultato esporre almeno un segreto. Il codice dell'app media esponeva 5,2 segreti.
Il risultato più importante di questo incidente è che gli utenti dovrebbero evitare del tutto di utilizzare applicazioni di editori sconosciuti, soprattutto quando si tratta di informazioni altamente sensibili. In particolare, i media sensibili dovrebbero essere condivisi solo su piattaforme criptate e servizi che offrono non solo un certo grado di protezione, ma anche una responsabilità pubblica.
