Detectan una falla en Tinder que permite espiar la actividad de los usuarios

(0)
25 de enero de 2018  • 18:13

La popular aplicación de citas Tinder está en la mira de los atacantes informáticos tras revelarse dos graves vulnerabilidades que aprovechan el distintivo movimiento de selección de imágenes para revelar la actividad de los usuarios. Estas fallas están presentes tanto en la versión para iOS como para Android, de acuerdo al reporte realizado por la firma israelí de seguridad Checkmax.

Estas vulnerabilidades pueden ser aprovechadas por un atacante que se encuentra en la misma red wi-fi de la víctima mientras usa Tinder y realiza el clásico movimiento hacia un lado u otro. Esta falla se produce porque las imágenes que muestra la aplación utilizan HTTP en vez de HTTPS, el protocolo utilizado de forma extendida en Internet para encriptar la información.

Se estima que son más de 50 millones de usuarios que utilizan el recurso de las citas de Tinder basadas en la foto de perfil y que están expuestos a esta vulnerabilidad, que podría permitir a un atacante espiar la actividad de la víctima, reemplazar las fotos que ve e incluso generar contenido malicioso para abrir la puerta a otras vulnerabilidades.

Para demostrar esta falla los investigadores de la firma de seguridad informática crearon una aplicación de prueba denominada TinderDrift, que puede reconstruir la sesión de un usuario en Tinder si la persona está usando el mismo Wi-Fi.

Es decir, el atacante solo podrá explotar la vulnerabilidad si su víctima y él están usando la misma red wi-fi. Los investigadores dijero que, si bien los deslizamientos (swipe, en inglés) y coincidencias (matches) están encriptados con HTTPS, un atacante puede diferenciar los comandos cifrados por los patrones específicos de bytes que representan un deslizamiento hacia la izquierda (278 bytes), otro hacia la derecha (374 bytes) y un match (581 bytes).

De esta forma, puede llegar a descubrir "casi todo" lo que un usuario de Tinder hace, en caso de tener conocimientos para combinar las fotos interceptadas con el control de los comandos encriptados.

Lo único que permanece privado son los mensajes y las fotos que se envían entre los usuarios después de lograr una coincidencia.

El problema, aseguran desde Checkmax, es que un cibercriminal con conocimiento de las preferencias sexuales de un usuario u otra información privada puede potencialmente chantajear a esa persona, o bien, intercambiar las fotos que ve por contenido inapropiado o publicidad deshonesta.

"Tomamos la seguridad de nuestros usuarios seriamente. Utilizamos una red de herramientas y sistemas para proteger la integridad de nuestra plataforma", sostuvo un vocero de Tinder, tras ser consultado por la agencia Télam sobre este tema.

El representante agregó a través de un correo electrónico enviado a esta agencia: "es importante notar que Tinder es una plataforma gratuita global y las imágenes que alojamos en la app son fotos de perfil, que son visibles para cualquiera que haga swipe (deslizamientos) en la aplicación".

"Como cualquier otra compañía de tecnología, estamos constantemente mejorando nuestras defensas en la batalla contra los hackers maliciosos. Por ejemplo, nuestras plataformas web para PC y móviles ya encriptan las imágenes de perfil y estamos trabajando para encriptar también las fotos de perfil en nuestra aplicación", relató.

"Sin embargo, no daremos más detalles de las herramientas de seguridad específicas que utilizamos o las mejoras que implementaríamos en el futuro, para no alertar a potenciales hackers", concluyó el vocero.

Con información de la agencia Télam

ENVÍA TU COMENTARIO

Ver legales

Los comentarios publicados son de exclusiva responsabilidad de sus autores y las consecuencias derivadas de ellos pueden ser pasibles de sanciones legales. Aquel usuario que incluya en sus mensajes algún comentario violatorio del reglamento será eliminado e inhabilitado para volver a comentar. Enviar un comentario implica la aceptación del Reglamento.

Para poder comentar tenés que ingresar con tu usuario de LA NACION.