Tinder, Ok Cupid, Badoo y otras apps para ligar podrían exponer mensajes y ubicaciones

Tinder, Ok Cupid, Badoo y otras apps para ligar podrían exponer mensajes y ubicaciones
1 comentario Facebook Twitter Flipboard E-mail

Según expertos de Kaspersky Lab, las aplicaciones para ligar podrían revelar datos tan sensibles como la ubicación o los mensajes que se mandan a través de sus servicios. Y esto podría conseguirse con hasta tres tipos de ataques.

Para llevar a cabo su estudio, los investigadores de la controvertida compañía rusa han analizado una selección de las aplicaciones de citas en línea más populares tanto de Android como de iOS. Las escogidas han sido Tinder, Bumble, Ok Cupid, Badoo, Mamba, Zoosk, Happn, WeChat y Paktor, siendo llamativa la ausencia de otras como Grindr o Scruff.

Varias formas de acceder a los datos sensibles

El primer intento de interceptación de datos de la investigación ha empleado uno de los métodos más sencillos: la utilización de datos públicos para encontrar datos privados. Hablamos del nombre facilitado, la fotografía, la edad o el trabajo.

En Tinder, Happn y Bumle el usuario puede especificar información sobre su trabajo y estudios. Utilizando esta información, en el 60% de los casos logramos encontrar las páginas de los usuarios en otras redes sociales, como Facebook y LinkedIn, y establecer sus nombres y apellidos.

Con esta nueva información, un atacante podría descubrir más datos, rastrear movimientos, conocer círculos de amistades e incluso tener la posibilidad de enviar mensajes privados a través de esas nuevas redes conocidas, algo que no sería posible en las aplicaciones de citas sin una interacción de la otra parte.

Otro dato incluido en varias de las aplicaciones analizadas por los investigadores, como es el de la ubicación, también podría ser descubierto. Normalmente estos servicios ofrecen la distancia de un individuo respecto a otro, algo aparentemente inofensivo. Sin embargo, mediante una triangulación de la misma mediante el fingimiento de coordenadas por parte del atacante, podría descubrirse la localización más o menos exacta.

«En particular, encontramos que los usuarios de Tinder, Mamba, Zoosk, Happn, WeChat y Paktor son susceptibles a este ataque», indican los trabajadores de Kaspersky Lab.

Enviando Mensajes Movil Iphone

La tercera vía para obtener datos que se ha empleado en el análisis ha sido la interceptación del tráfico sin cifrar entre las aplicaciones y sus servidores, así como al ataque conocido como MITM, ataque de intermediario o man-in-the-middle.

La aplicación Mamba, por ejemplo, según Unuchek, Kuzin y Zelensky, envía datos sin cifrar, entre ellos los mensajes, con la consecuente falta de privacidad.

De esta manera, un atacante puede ver e incluso modificar todos los datos que la aplicación intercambia con el servidor, incluidos los mensajes personales. Además, puede obtener acceso a la administración de la cuenta utilizando algunos de los datos interceptados.

Por último, los investigadores de Kaspersky Lab señalan la posibilidad de acceder al historial de mensajes o la caché de fotos de perfiles vistos de varias de las aplicaciones si en Android un atacante aprovechase los permisos de root.

Así, utilizando derechos de superusuario, pudimos obtener los tokens de autorización (principalmente de Facebook) de casi todas las aplicaciones. [...] La mayoría de las aplicaciones que estudiamos (Tinder, Bumble, OK Cupid, Badoo, Happn y Paktor) guardan el historial de mensajes en la misma carpeta que el token. Como resultado, si el delincuente obtiene los derechos de superusuario, también obtiene acesso a la correspondencia. [...] Si se recibe acceso a la carpeta de la caché, podrá ver qué cuestionarios visualizó el usuario.

En cualquier caso, tratándose de un estudio de una compañía encargada de la seguridad de usuarios y otras compañías, hay que ser cautos. A pesar de que a la vista de las averiguaciones las vulnerabilidades sí parezcan ser aproximadas al relato difundido por los investigadores.

Imágenes | Denis Bocquet y StockSnap
En Genbeta | El plan de Kaspersky para permitir la revisión de su código fuente e intentar lavar su imagen

Comentarios cerrados
Inicio