Si usas Tinder en wifis públicas tus ligues pueden quedar al descubierto de hackers por deficiencias en el cifrado

Si usas Tinder en wifis públicas tus ligues pueden quedar al descubierto de hackers por deficiencias en el cifrado
Sin comentarios Facebook Twitter Flipboard E-mail

La mayoría de los usuarios confía, espera o simplemente sobreentiende que la información que maneja en las aplicaciones que utiliza día tras día en su teléfono u ordenador se protege. Igual desconoce qué es el cifrado y cómo funciona, pero asume que el diseño de los servicios evita que sus datos queden expuestos. Eso sería lo deseable, pero recurrentemente nos encontramos con problemas. Hoy, con Tinder, una de las aplicaciones de citas más populares.

Investigadores de una compañía de seguridad especializada en aplicaciones, Checkmarx, asegura que Tinder carece de un cifrado HTTPS básico para las fotos. Esta vulnerabilidad junto con otras, detectadas tanto en la aplicación para Android como en la aplicación para iOS, permitiría que un atacante conectado a la misma wifi que la víctima pudiese "monitorear cada movimiento del usuario". Podría suceder en cafeterías, bibliotecas, aeropuertos, restaurantes o cualquier lugar con redes a las que se pueden conectar diversas personas.

'Likes', 'matches' y fotos al descubierto

Según el análisis, un atacante podría ver las fotografías que sube la víctima, las que está visualizando de otros usuarios, inyectar contenido fraudulento en el flujo de perfiles y descubrir a qué personas se les da like o con qué individuos se tiene un match. Estos datos, que no comprometen las credenciales de acceso ni tienen un impacto financiero inmediato según la firma, sí podrían servir para chantajear a víctimas vulnerables.

En el vídeo que han compartido los investigadores puede verse una prueba de lo que dicen. Construyeron un programa llamado TinderDrift que se ejecuta en un equipo portátil conectado a una red wifi compartida con otros y simula de forma automática lo que sería una sesión cualquiera de un usuario de Tinder.

En la demostración los especialistas de Checkmarx aprovechan la falta de cifrado HTTPS a la hora de transmitir imágenes desde y hasta el teléfono para interceptarlas. Esto era lo más fácil, el resto de datos que pudieron obtener, que sí son encriptados por Tinder, necesitaron de la combinación de otra vulnerabilidad.

Para descubrir datos más allá de las fotos los invstigadores recurrieron a otra vulnerabilidad que afecta a información que sí está cifrada

Concretamente una que produce patrones de bytes, reconocibles incluso cuando están cifrados, en función de los eventos que se producen, como likes o dislikes. Unir la captación de las fotos con este problema dio la posibilidad de conocer el resto de la información. Los mensajes, eso sí, se salvan en esta ocasión. Aunque mediante otro tipo de ataques en el pasado sí pudieron quedar expuestos.

Los investigadores dejan claro que la divulgación de las dos vulnerabilidades se ha llevado a cabo tras informar debidamente al equipo de seguridad de Tinder y haber seguido convenientemente el proceso de divulgación responsable. En declaraciones a Wired, un portavoz de Tinder explicó que el cifrado HTTPS para las imágenes sí existe en la versión web y que se está trabajando para llevarlo a las aplicaciones, reconociendo implícitamente el problema.

En Genbeta | Firefox te avisará cuando un sitio web que visites haya sufrido una brecha de datos

Comentarios cerrados
Inicio