Otro fallo de seguridad en Grindr: permite rastrear usuarios en vivo con una precisión de cinco metros

Otro fallo de seguridad en Grindr: permite rastrear usuarios en vivo con una precisión de cinco metros
1 comentario Facebook Twitter Flipboard E-mail

Hace seis meses, un desarrollador aprovechó una vulnerabilidad en Grindr que permitía no solo saber qué contactos te habían bloqueado, sino conocer su ubicación y si tenían VIH o no. Para más inri, la empresa estaba compartiendo algunos de estos datos con terceros. Hoy, seis meses después del descubrimiento de esta vulnerabilidad, una nueva página web ha vuelto a poner a Grindr en el punto de mira, ya que un fallo en su API permite seguir conociendo con tremenda precisión la ubicación de sus usuarios.

Aparentemente, Grindr falla al bloquear al acceso a su API privada por parte de terceros. Eso, haciendo uso de técnicas de trilateración, y teniendo en cuenta que Grindr permite conocer la ubicación del resto de usuarios de forma más o menos precisa gracias al GPS del smartphone, permite que cualquier persona con los conocimientos adecuados pueda desarrollar una herramienta con la que descubrir dónde se encuentra cada persona.

Un mapa virtual para conocer todos los datos sobre los usuarios de Grindr

Queer Europe se ha hecho eco de este tipo de herramientas que, según podemos ver en un vídeo publicado en Twitter, permiten obtener la ubicación exacta de millones de hombres en Grindr, así como conocer su tipo de cuerpo, posición sexual favorita y su estado de VIH.

La herramienta más famosa para ello era Fuckr, cuyo código estuvo disponible en GitHub desde 2015. GitHub, poco después de que Queer Europe se hiciese eco de esta herramienta, eliminó el código de su sitio alegando una acceso no autorizado a la API de Grindr, aunque desde Queer Europe aseguran que muchos usuarios han descargado el código y creado forks que siguen activos en la plataforma. Por no hablar de que Fuckr sigue completamente operativa, siendo capaz de hacer hasta 600 peticiones por segundo a la API de Grindr.

Fuckr sigue completamente operativa, siendo capaz de hacer hasta 600 peticiones por segundo a la API de Grindr

Ello se traduce en que es posible rastrear casi en tiempo real la ubicación de los usuarios de la plataforma y ponerlas sobre un mapa interactivo, tal y como puede verse en el vídeo sobre estas líneas.

Desde Queer Europe aseguran que "Grindr hace que sus usuarios sean extremadamente vulnerables al acoso" tras haber comprobado por ellos mismos la precisión con la que se puede rastrear a un usuario. "Como experimento, un amigo me permitió seguirlo durante una noche. Mientras estaba sentado detrás de mi portátil, pude ver en qué restaurantes estaba comiendo, en qué cafés estaba bebiendo y en qué clubes nocturnos estaba bailando. También pude ver que fue a la sauna gay a la 1 de la mañana y luego durmió en la casa de un extraño a las 3 AM", expone el autor del post en la web.

Las herramientas ofrecen una precisión de entre dos y cinco metros

Trackeo usuarios Grindr
Dado que la herramienta es capaz de hacer 600 llamadas por segundo a la API de Grindr, es posible rastrear la ubicación de un usuario cualquiera en tiempo real.

Recientemente, Grind afirmó que protegía a sus usuarios con "tecnología líder en la industria" y que ofrecía una capa adicional de seguridad ocultando las ubicaciones exactas de los usuarios. Para ello, en lugar de mostrar la ubicación, mostraba un área. Sin embargo, mediante las técnicas mencionadas anteriormente, puede saberse la ubicación de cualquier persona con una precisión de dos a cinco metros. La razón, apuntan en Queer Europe, es que Grindr usa geohashes de 12 caracteres para ubicar a sus usuarios, o lo que es lo mismo, genera un área de 37 x 18 centímetros. Precisión casi milimétrica.

Asimismo, Queer Europe asegura que este tipo de herramientas podrían ser usadas por gobiernos opresores para localizar y perseguir a hombres homosexuales:

"Para empeorar las cosas, también es posible ubicar a los usuarios de Grindr en países donde los homosexuales son procesados ​​y reprimidos. Después de que se revelaran las vulnerabilidades de seguridad en 2014, Grindr inhabilitó la función de distancia en algunos países homofóbicos, como Rusia, Nigeria, Egipto, Iraq y Arabia Saudita. Sin embargo, aún es posible localizar usuarios en muchos otros países, como Argelia, Turquía, Bielorrusia, Etiopía, Qatar, Abu Dabi, Omán, Azerbaiyán, China, Malasia e Indonesia [...] En algunos de los países mencionados, los hombres homosexuales corren el riesgo de una pena de prisión de 14 años o más".

Por el momento, Grindr no ha hecho ninguna declaración al respecto. Desde la plataforma Queer Europe recomiendan usar una app para falsear la ubicación GPS en los móviles.

En Genbeta | "Sólo para heteros": probamos la web de citas para seguidores de Donald Trump

Comentarios cerrados
Inicio