Grindr: scoperte falle di sicurezza nell'app gay

Emergono alcune falle di sicurezza per Grindr, la popolare applicazione d’incontri dedicata all’universo omosessuale. Così come riportato da diverse testate statunitensi, negli ultimi giorni sono state scovate delle vulnerabilità in grado di esporre dati sensibili degli utenti a malintenzionati, approfittando anche e soprattutto della geolocalizzazione degli iscritti. Secondo quanto reso noto da TechCrunch, la società sarebbe già al lavoro per garantire il massimo della sicurezza ai propri utenti.

Grindr, per chi ancora non la conoscesse, è una delle applicazioni di dating più diffusa nel mondo omosessuale. L’app permette agli utenti, tramite la creazione di un profilo personale, di cercare iscritti nelle proprie vicinanze, il tutto grazie ai sistemi di geolocalizzazione. Negli ultimi giorni sarebbero però emerse alcune falle, tali da poter potenzialmente garantire a malintenzionati l’accesso a informazioni riservate.

La prima vulnerabilità, scoperta da Trever Faden e resa nota da NBC News, avrebbe permesso a terzi di accedere a una lunga serie di datii non normalmente pubblicamente accessibili, tramite lo sfruttamento di servizi di terze parti. Faden ha infatti rilevato come alcuni metadata non siano stati opportunamente nascosti e, per provare quanto scoperto, ha creato un sito ad hoc. Effettuando l’accesso con le proprie credenziali Grindr, l’utente ha potuto apprendere dettagli quali la lista degli utenti che l’hanno bloccato, le foto cancellate e, in alcuni casi, anche la posizione di persone che hanno deciso di non rendere questo dato pubblicamente accessibile.

La seconda falla, sempre come riferisce TechCrunch, sarebbe invece relativa all’inoltro dei dati geografici questi ultimi trasferiti senza crittografia. In linea teorica, così come spiega la testata statunitense, malintenzionati potrebbero ricavare la posizione altrui con lo snooping del traffico generato dall’app.

Dalla stampa statunitense si apprende come Grindr abbia già provveduto a correggere la prima problematica, tanto che il sito di Faden è stato conseguentemente chiuso, mentre per la seconda non vi sarebbero ancora conferme ufficiali. La società, tuttavia, ha inoltrato una nota a TechCrunch:

Ogni volta che un utente svela le proprie credenziali a uno sconosciuto servizio di terze parti, rischia di esporre le proprie informazioni di profilo, di posizione e i relativi metadata. Non ci stanchiamo di sottolinearlo: sconsigliamo fortemente di condividere informazioni personali di login con questi siti, poiché si rischia di esporre dati che gli utenti non hanno scelto di condividere. […] Grindr è un’applicazione basata sulla posizione. La posizione è essenziale per la nostra piattaforma social. Permette ai nostri utenti di sentirsi connessi alla nostra comunità, in un mondo che spesso ci isola. Detto questo, qualsiasi informazione trasmessa tra il dispositivo dell’utente e i nostri server è criptata e trasferita in un modo che non permetta di rivelare la specifica posizione a terze parti.