Falla en Tinder permite que desconocidos vean actividad de usuarios

0

La popular aplicación de citas Tinder está en la mira de los atacantes informáticos tras revelarse dos graves vulnerabilidades que aprovechan el distintivo movimiento de selección de imágenes para revelar la actividad de los usuarios. Estas fallas están presentes tanto en la versión para iOS como para Android, de acuerdo al reporte realizado por la firma israelí de seguridad Checkmax.

Estas vulnerabilidades pueden ser aprovechadas por un atacante que se encuentra en la misma red Wi-Fi de la víctima mientras usa Tinder y realiza el clásico movimiento hacia un lado u otro. Esta falla se produce porque las imágenes que muestra la aplicación utilizan HTTP en vez de HTTPS, el protocolo utilizado de forma extendida en Internet para encriptar la información.

Se estima que son más de 50 millones de usuarios que utilizan el recurso de las citas de Tinder basadas en la foto de perfil y que están expuestos a esta vulnerabilidad, que podría permitir a un atacante espiar la actividad de la víctima, reemplazar las fotos que ve e incluso generar contenido malicioso para abrir la puerta a otras vulnerabilidades.

Para demostrar esta falla los investigadores de la firma de seguridad informática crearon una aplicación de prueba denominada TinderDrift, que puede reconstruir la sesión de un usuario en Tinder si la persona está usando el mismo Wi-Fi.

Es decir, el atacante solo podrá explotar la vulnerabilidad si su víctima y él están usando la misma red Wi-Fi. Los investigadores dijeron que, si bien los deslizamientos (swipe, en inglés) y coincidencias (matches) están encriptados con HTTPS, un atacante puede diferenciar los comandos cifrados por los patrones específicos de bytes que representan un deslizamiento hacia la izquierda (278 bytes), otro hacia la derecha (374 bytes) y un match (581 bytes).

De esta forma, puede llegar a descubrir “casi todo” lo que un usuario de Tinder hace, en caso de tener conocimientos para combinar las fotos interceptadas con el control de los comandos encriptados.

Lo único que permanece privado son los mensajes y las fotos que se envían entre los usuarios después de lograr una coincidencia.

El problema, aseguran desde Checkmax, es que un cibercriminal con conocimiento de las preferencias sexuales de un usuario u otra información privada puede potencialmente chantajear a esa persona, o bien, intercambiar las fotos que ve por contenido inapropiado o publicidad deshonesta.

Leave A Reply

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.