Occorre fare molta attenzione nel caso in cui si utilizzi l’app “Gay Daddy”. Il 7 gennaio 2025, il team di ricerca di Cybernews ha scoperto una grave svista di sicurezza che ha compromesso l’app “Gay Daddy: 40+ Date & Chat” sull’App Store di Apple. È una delle migliaia di app iOS che trapelano i propri segreti, come svelato dall’analisi di Cybernews su 156.000 app.
La descrizione dell’app Gay Daddy pubblicizza una “comunità privata e anonima” per gay e bisessuali che vogliono incontrarsi, che “non condivide mai le tue informazioni con terze parti”.
Cosa sappiamo sui problemi di sicurezza che hanno colpito l’app di incontri “Gay Daddy”
Tuttavia, al momento della scoperta, l’istanza Firebase dell’app stava trapelando oltre 50.000 profili utente e 124.000 messaggi privati inviati tra utenti. Firebase è uno strumento di Google per gli sviluppatori che semplifica lo sviluppo di app, tra cui l’archiviazione dei dati, l’autenticazione degli utenti (come gli accessi) o funzionalità in tempo reale come gli aggiornamenti della chat. Le conseguenze possono essere devastanti per gli utenti dell’app.
“Gli utenti si aspettano che l’app sia discreta, ma è esattamente l’opposto. A causa di una configurazione errata della sicurezza, Gay Daddy ha fatto trapelare tutti i dati dei suoi utenti, inclusi messaggi privati, foto, posizioni e profili, inclusi nomi, età, stato della relazione e persino stato di sieropositività all’HIV”, ha affermato Aras Nazarovas, ricercatore di sicurezza presso Cybernews.
Il database era accessibile a chiunque avesse sufficienti conoscenze tecniche. Il team di ricerca di Cybernews ha esaminato il pacchetto dell’app disponibile al pubblico utilizzando tecniche di reverse engineering, che hanno svelato i segreti archiviati in testo normale. I segreti hanno portato a endpoint di servizi di terze parti esposti.
Cybernews ha comunicato responsabilmente la violazione allo sviluppatore dell’app e l’istanza trapelata è stata chiusa. Pare sia anche stato contattato il creatore dell’app, Surendra Kumar, per un commento, ma non abbiamo ricevuto risposta al momento della stesura.
Gli aggressori potrebbero sfruttare molteplici debolezze di Gay Daddy
L’endpoint Firebase era solo uno dei segreti trapelati di Gay Daddy. Erano presenti altre chiavi segrete, tra cui il bucket di archiviazione cloud per l’archiviazione dei file, una chiave API utilizzata per l’autenticazione a vari servizi Google, che potrebbe portare ad attacchi di esaurimento delle quote, e altri.
Firebase è solitamente utilizzato come database temporaneo con spazio limitato. Quando si riempie fino a un certo punto, i dati vengono sincronizzati con un database permanente e le voci più vecchie in Firebase verranno eliminate. Un aggressore persistente potrebbe nascondersi per molto tempo, utilizzando uno scraper per raccogliere un database molto più grande sugli utenti dell’app.
