Detectan fallas de seguridad en Tinder que pueden revelar datos sensibles de los usuarios
Jueves 25 de
Enero 2018
Dos vulnerabilidades en la popular aplicación de citas Tinder fueron detectadas esta semana por una empresa de ciberseguridad, que alertó que son fallas que pueden ser explotadas por atacantes informáticos para potencialmente acceder a la actividad privada de los usuarios de esa app, tales como sus deslizamientos (hacia la derecha o a la izquierda, según le interese o no un usuario).
Presentes tanto en iOS como en Android, las vulnerabilidades abren la puerta para que un atacante que esté usando la misma red Wifi que un usuario determinado, pueda monitorear sus movimientos, reveló el equipo de seguridad de la firma Checkmarx, con sede en Tel Aviv.
La investigación titulada "¿Estás en Tinder? Alguien podría estar mirando tus deslizamientos" ("Are you on Tinder? Someone may be watching you swipe"), también señala que es posible que el intruso tome el control de las imágenes de perfil que ven las personas, intercambiándolas por contenido inapropiado, publicidad deshonesta u otro tipo de contenido malicioso, agregó al respecto el sitio especializado Hipertextual.
El equipo de seguridad detectó que la aplicación de Tinder no tiene el protocolo de seguridad Https básica (que actualmente usa la mayoría de los sitios web), lo que implica un riesgo.
El protocolo de Https, que figura como un candado verde y un certificado al lado de la dirección URL ,no es infalible pero hoy representa una medida de seguridad indispensable.
Los investigadores crearon una aplicación de prueba denominada TinderDrift, que puede reconstruir la sesión de un usuario en Tinder si la persona está usando el mismo Wi-Fi.
Es decir, el atacante solo podrá explotar la vulnerabilidad si su víctima y él están usando la misma red Wifi.
El laboratorio antimalware aclaró que si bien los deslizamientos (swipe, en inglés) y coincidencias (matches) están encriptados con Https, un atacante puede diferenciar los comandos cifrados por los patrones específicos de bytes que representan un deslizamiento hacia la izquierda (278 bytes), otro hacia la derecha (374 bytes) , un y un match (581 bytes).
De esta forma, puede llegar a descubrir "casi todo" lo que un usuario de Tinder hace, en caso de tener conocimientos para combinar las fotos interceptadas con el control de los comandos encriptados.
Lo único que permanece privado son los mensajes y las fotos que se envían entre los usuarios después de lograr una coincidencia.
El problema, aseguran desde la empresa de ciberseguridad, es que un cibercriminal con conocimiento de las preferencias sexuales de un usuario u otra información privada puede potencialmente chantajear a esa persona, o bien, intercambiar las fotos que ve por contenido inapropiado o publicidad deshonesta.
Un vocero de Tinder señaló a la publicación Wired que "como cualquier otra compañía de tecnología", están "mejorando constantemente" sus defensas en la batalla "contra hackers maliciosos".
Asimismo, aclaró que las fotos de perfil de Tinder son públicas, y agregó que la versión web de Tinder usa el protocolo de encriptación Https con planes de ampliar esa protección.
"Estamos trabajando para encriptar imágenes en la experiencia de nuestra app también", mencionó.
La investigación titulada "¿Estás en Tinder? Alguien podría estar mirando tus deslizamientos" ("Are you on Tinder? Someone may be watching you swipe"), también señala que es posible que el intruso tome el control de las imágenes de perfil que ven las personas, intercambiándolas por contenido inapropiado, publicidad deshonesta u otro tipo de contenido malicioso, agregó al respecto el sitio especializado Hipertextual.
El equipo de seguridad detectó que la aplicación de Tinder no tiene el protocolo de seguridad Https básica (que actualmente usa la mayoría de los sitios web), lo que implica un riesgo.
El protocolo de Https, que figura como un candado verde y un certificado al lado de la dirección URL ,no es infalible pero hoy representa una medida de seguridad indispensable.
Los investigadores crearon una aplicación de prueba denominada TinderDrift, que puede reconstruir la sesión de un usuario en Tinder si la persona está usando el mismo Wi-Fi.
Es decir, el atacante solo podrá explotar la vulnerabilidad si su víctima y él están usando la misma red Wifi.
El laboratorio antimalware aclaró que si bien los deslizamientos (swipe, en inglés) y coincidencias (matches) están encriptados con Https, un atacante puede diferenciar los comandos cifrados por los patrones específicos de bytes que representan un deslizamiento hacia la izquierda (278 bytes), otro hacia la derecha (374 bytes) , un y un match (581 bytes).
De esta forma, puede llegar a descubrir "casi todo" lo que un usuario de Tinder hace, en caso de tener conocimientos para combinar las fotos interceptadas con el control de los comandos encriptados.
Lo único que permanece privado son los mensajes y las fotos que se envían entre los usuarios después de lograr una coincidencia.
El problema, aseguran desde la empresa de ciberseguridad, es que un cibercriminal con conocimiento de las preferencias sexuales de un usuario u otra información privada puede potencialmente chantajear a esa persona, o bien, intercambiar las fotos que ve por contenido inapropiado o publicidad deshonesta.
Un vocero de Tinder señaló a la publicación Wired que "como cualquier otra compañía de tecnología", están "mejorando constantemente" sus defensas en la batalla "contra hackers maliciosos".
Asimismo, aclaró que las fotos de perfil de Tinder son públicas, y agregó que la versión web de Tinder usa el protocolo de encriptación Https con planes de ampliar esa protección.
"Estamos trabajando para encriptar imágenes en la experiencia de nuestra app también", mencionó.
Con información de
lavoz
