Um lapso de segurança no aplicativo de namoro RAW expôs publicamente os dados pessoais e os dados de localização privada de seus usuários, descobriu o TechCrunch.
Os dados expostos incluíram nomes de exibição dos usuários, datas de nascimento, namoro e preferências sexuais associadas ao aplicativo RAW, bem como à localização dos usuários. Alguns dos dados de localização incluíram coordenadas específicas o suficiente para localizar usuários de aplicativos brutos com precisão no nível da rua.
O Raw, lançado em 2023, é um aplicativo de namoro que afirma oferecer interações mais genuínas com outras pessoas em parte, pedindo aos usuários que enviem fotos diárias de selfie. A empresa não divulga quantos usuários possui, mas sua listagem de aplicativos nas notas da Google Play Store mais de 500.000 downloads do Android até o momento.
As notícias do lapso de segurança surgem na mesma semana em que a startup anunciou uma extensão de hardware de seu aplicativo de namoro, o Raw Ring, um dispositivo vestível não lançado que, segundo ele, permitirá que os usuários do aplicativo rastreem a frequência cardíaca de seu parceiro e outros dados do sensor para receber informações geradas pela IA, ostensivamente para detectar a infidelidade.
Não obstante as questões morais e éticas de rastrear parceiros românticos e os riscos de vigilância emocional, reivindicações brutas em seu site e em sua política de privacidade de que seu aplicativo e seu dispositivo não lançado, ambos usam a criptografia de ponta a ponta, um recurso de segurança que impede alguém que não seja o usuário-incluindo a empresa-de acesso aos dados.
Quando tentamos o aplicativo nesta semana, que incluiu uma análise do tráfego de rede do aplicativo, o TechCrunch não encontrou evidências de que o aplicativo use a criptografia de ponta a ponta. Em vez disso, descobrimos que o aplicativo estava lançando dados publicamente sobre seus usuários para qualquer pessoa com um navegador da web.
A RAW corrigiu a exposição aos dados na quarta -feira, logo após a TechCrunch entrar em contato com a empresa com detalhes do bug.
“Todos os pontos de extremidade expostos foram protegidos e implementamos salvaguardas adicionais para evitar problemas semelhantes no futuro”, disse Marina Anderson, co-fundadora do App Raw Dating, ao TechCrunch por e-mail.
Quando perguntado pela TechCrunch, Anderson confirmou que a empresa não havia realizado uma auditoria de segurança de terceiros de seu aplicativo, acrescentando que “o foco permanece na construção de um produto de alta qualidade e se envolveu significativamente com nossa comunidade em crescimento”.
Anderson não se comprometeria a notificar proativamente os usuários afetados que suas informações foram expostas, mas disse que a empresa “enviaria um relatório detalhado às autoridades relevantes de proteção de dados sob os regulamentos aplicáveis”.
Não se sabe imediatamente quanto tempo o aplicativo está publicamente derramando os dados de seus usuários. Anderson disse que a empresa ainda estava investigando o incidente.
Em relação à sua alegação de que o aplicativo usa a criptografia de ponta a ponta, Anderson disse que o RAW “usa a criptografia no trânsito e aplica os controles de acesso para dados sensíveis em nossa infraestrutura. Mais etapas ficarão claras após analisar minuciosamente a situação”.
Anderson não disse, quando perguntado, se a empresa planeja ajustar sua política de privacidade, e Anderson não respondeu a um email de acompanhamento da TechCrunch.
Como encontramos os dados expostos
O TechCrunch descobriu o bug na quarta -feira durante um breve teste do aplicativo. Como parte do nosso teste, instalamos o aplicativo de namoro bruto em um dispositivo Android virtualizado, que nos permite usar o aplicativo sem precisar fornecer dados do mundo real, como nossa localização física.
Criamos uma nova conta de usuário com dados fictícios, como um nome e data de nascimento, e configuramos a localização do nosso dispositivo virtual para parecer como se estivéssemos em um museu em Mountain View, Califórnia. Quando o aplicativo solicitou a localização do nosso dispositivo virtual, permitimos o acesso ao aplicativo à nossa localização precisa até alguns metros.
Utilizamos uma ferramenta de análise de tráfego de rede para monitorar e inspecionar os dados que fluem dentro e fora do aplicativo RAW, o que nos permitiu entender como o aplicativo funciona e que tipos de dados o aplicativo estava carregando sobre seus usuários.
O TechCrunch descobriu a exposição aos dados alguns minutos após o uso do aplicativo bruto. Quando carregamos o aplicativo pela primeira vez, descobrimos que ele estava extraindo as informações do perfil do usuário diretamente dos servidores da empresa, mas que o servidor não estava protegendo os dados retornados com qualquer autenticação.
Na prática, isso significava que qualquer um poderia acessar as informações privadas de qualquer outro usuário usando um navegador da web para visitar o endereço da web do servidor exposto – api.raw.app/users/ seguido por um número exclusivo de 11 dígitos correspondente a outro usuário do aplicativo. Alterar os dígitos para corresponder com o identificador de 11 dígitos de qualquer outro usuário retornou informações privadas do perfil desse usuário, incluindo seus dados de localização.
Esse tipo de vulnerabilidade é conhecido como uma referência de objeto direto inseguro, ou idêntico, um tipo de bug que pode permitir que alguém acesse ou modifique os dados no servidor de outra pessoa devido à falta de verificações de segurança adequadas no usuário que acessam os dados.
Como explicamos antes, os bugs idóricos são semelhantes a ter a chave para uma caixa de correio privada, por exemplo, mas essa chave também pode desbloquear todas as outras caixas de correio na mesma rua. Como tal, os bugs idóricos podem ser explorados com facilidade e, em alguns casos, enumerados, permitindo o acesso ao registro após o registro dos dados do usuário.
A agência de segurança cibernética dos EUA CISA há muito tempo alerta sobre os riscos que os bugs idóricos presentes, incluindo a capacidade de acessar dados tipicamente sensíveis “em escala”. Como parte de sua iniciativa Secure By Design, a CISA disse em um consultor de 2023 que os desenvolvedores devem garantir que seus aplicativos executem verificações adequadas de autenticação e autorização.
Como o RAW corrigiu o bug, o servidor exposto não retorna mais dados do usuário no navegador.