![](data:image/svg+xml;charset=utf-8,<svg height="576" width="1024" xmlns="http://www.w3.org/2000/svg" version="1.1"/>)
Créditos da imagem: Bryce Durbin/TechCrunch
Na semana passada, quando pesquisadores de segurança disseram que poderiam obter facilmente informações de localização precisas de qualquer um dos milhões de usuários de um aplicativo de rastreamento telefônico amplamente utilizado, vimos por nós mesmos que era necessário.
Eric Daigle, estudante de ciência da computação e economia da Universidade da Colúmbia Britânica em Vancouver, descobriu a vulnerabilidade no aplicativo de rastreamento iSharing como parte de sua pesquisa sobre a segurança de aplicativos de rastreamento de localização. iSharing é um dos aplicativos de rastreamento de localização mais populares, com mais de 35 milhões de usuários até o momento.
Daigle disse que o bug permitiu que qualquer pessoa que usasse o aplicativo acessasse as coordenadas de outras pessoas, mesmo que o usuário não compartilhasse ativamente seus dados de localização com outras pessoas. O bug também expôs nomes de usuários, fotos de perfil e endereços de e-mail e números de telefone usados para fazer login no aplicativo.
Esse bug significa que os servidores do iSharing não verificam adequadamente se os usuários do aplicativo só podem acessar seus próprios dados de localização ou os dados de localização de outras pessoas que são compartilhados com eles.
Os aplicativos de rastreamento de localização, incluindo aplicativos furtivos “stalkerware”, têm um histórico de incidentes de segurança em que as informações precisas de localização de um usuário correm o risco de serem comprometidas ou expostas.
Neste caso, Daigle levou apenas alguns segundos para encontrar este repórter a vários metros de profundidade. Usando um smartphone Android com o aplicativo iSharing instalado e uma nova conta de usuário, os pesquisadores foram questionados se o bug poderia ser usado para obter informações precisas de localização.
“770 Broadway em Manhattan?” Daigle respondeu com as coordenadas exatas do escritório do TechCrunch em Nova York de onde veio a ligação.
![](data:image/svg+xml;charset=utf-8,<svg height="723" width="420" xmlns="http://www.w3.org/2000/svg" version="1.1"/>)
Mesmo que o aplicativo não compartilhe nossa localização com mais ninguém, os pesquisadores de segurança extraíram nossos dados precisos de localização dos servidores do iSharing. Créditos da imagem: TechCrunch (captura de tela)
Daigle compartilhou detalhes da vulnerabilidade com o iSharing há cerca de duas semanas, mas não recebeu resposta. Foi quando Daigle pediu ajuda ao TechCrunch para entrar em contato com os fabricantes de aplicativos. O iSharing corrigiu o bug logo após ou durante o fim de semana de 20 a 21 de abril.
“Somos gratos aos pesquisadores que descobriram esse problema e conseguiram superá-lo”, disse o cofundador do iSharing, Yongjae Chuh, ao TechCrunch por e-mail. “Nossa equipe está atualmente planejando trabalhar com especialistas em segurança para adicionar as medidas de segurança necessárias para garantir a proteção de todos os dados de nossos usuários”.
O iSharing atribuiu a vulnerabilidade a um recurso chamado Grupos, que permite aos usuários compartilhar sua localização com outros usuários. Chuh disse ao TechCrunch que não havia evidências nos registros da empresa de que o bug tivesse sido descoberto antes da descoberta de Daigle. Chuh reconheceu que “pode ter havido um descuido de nossa parte” porque os servidores da empresa não conseguiram verificar se os usuários tinham permissão para ingressar em grupos de outros usuários.
O TechCrunch adiou a publicação deste artigo até que Daigle confirmasse a correção.
“Provavelmente levamos cerca de uma hora no total para encontrar a primeira falha, que incluía abrir o aplicativo, entender o formato da solicitação e verificar se criar e ingressar em um grupo para outro usuário funcionava, disse Daigle ao TechCrunch.
A partir daí, ele passou mais algumas horas construindo um script de prova de conceito para demonstrar o bug de segurança.
Daigle explicou a vulnerabilidade com mais detalhes em seu blog e disse que planeja continuar suas pesquisas nas áreas de stalkerware e rastreamento de localização.
Leia mais no TechCrunch:
Entre em contato com este repórter via Signal e WhatsApp (+1 646-755-8849) ou e-mail. Você também pode enviar arquivos e documentos via SecureDrop.
