Una vulnerabilidad en Tinder permite espiar a los usuarios

Para que el ataque se produzca, el intruso y el usuario deberían estar usando la misma red wifi.

26 Ene 2018
1

LA APLICACIÓN. Tinder es una de las aplicaciones de citas más populares.

La popular aplicación de citas Tinder ha dejado de ser cien por ciento segura. Una empresa de ciberseguridad detectó esta semana dos fallas, conocidas como vulnerabilidades, que podrían dar lugar a que otras personas accedan a la actividad privada de los usuarios de esa app, informa la agencia Télam. Podrían enterarse, por ejemplo, de sus deslizamientos, que es el modo que tiene el usuario de seleccionar las personas que son o no de su interés.

Presentes tanto en iOS como en Android, las vulnerabilidades abren la puerta para que un atacante que esté usando la misma red wifi que un usuario determinado, pueda monitorear sus movimientos, reveló el equipo de seguridad de la firma Checkmarx, de Tel Aviv.

La investigación fue titulada “¿Estás en Tinder? Alguien podría estar mirando tus deslizamientos” (”Are you on Tinder? Someone may be watching you swipe”). En ella se afirma, además, que es posible que el intruso tome el control de las imágenes de perfil que ven las personas, intercambiándolas por contenido inapropiado, publicidad deshonesta u otro tipo de contenido malicioso.

Seguridad baja

El equipo de seguridad detectó que la aplicación de Tinder no tiene el protocolo de seguridad https básica (que actualmente usa la mayoría de los sitios web), lo que implica un riesgo.

El protocolo de https, que figura como un candado verde y un certificado al lado de la dirección URL, no es infalible pero hoy representa una medida de seguridad indispensable.

Los investigadores crearon una aplicación de prueba denominada TinderDrift, que puede reconstruir la sesión de un usuario en Tinder si la persona está usando el mismo wifi. Es decir, el atacante sólo podrá explotar la vulnerabilidad si su víctima y él están usando la misma red.

Se puede ver “casi todo”

El laboratorio antimalware aclaró que si bien los deslizamientos (swipe, en inglés) y coincidencias (matches) están encriptados con https, un atacante puede diferenciar los comandos cifrados por los patrones específicos de bytes que representan un deslizamiento hacia la izquierda (278 bytes), otro hacia la derecha (374 bytes) y un match (581 bytes).

De esta forma, puede llegar a descubrir “casi todo” lo que un usuario de Tinder hace, en caso de tener conocimientos para combinar las fotos interceptadas con el control de los comandos encriptados.

Lo único que permanece privado son los mensajes y las fotos que se envían entre los usuarios después de lograr una coincidencia.

El problema, aseguran desde la empresa de ciberseguridad, es que un cibercriminal con conocimiento de las preferencias sexuales de un usuario u otra información privada puede potencialmente chantajear a esa persona, o bien, intercambiar las fotos que ve por contenido inapropiado o publicidad deshonesta.

Planes contra los hackers

Un vocero de Tinder declaró que, como cualquier otra compañía de tecnología, están mejorando constantemente sus defensas en la batalla contra hackers maliciosos.

El vocero aclaró que las fotos de perfil de Tinder son públicas, y agregó que la versión web de Tinder usa el protocolo de encriptación https y que hay planes de ampliar esa protección. “Estamos trabajando para encriptar imágenes en la experiencia de nuestra app también”, afirmó.

Comentarios