Tinder: hallan fallas que podrían usar hackers

Dos vulnerabilidades en la popular aplicación de citas Tinder fueron detectadas esta semana por una empresa de ciberseguridad, la cual alertó que son fallas que pueden ser explotadas por atacantes informáticos para potencialmente acceder a la actividad privada de los usuarios de esa app, tales como sus deslizamientos.

Presentes tanto en iOS como en Android, ambas abren la puerta para que un atacante que esté usando la misma red Wifi que un usuario determinado, pueda monitorear sus movimientos, reveló el equipo de seguridad de la firma Checkmarx, con sede en Tel Aviv.

La investigación titulada también señala que es posible que el intruso tome el control de las imágenes de perfil que ven las personas, intercambiándolas por contenido inapropiado, publicidad deshonesta u otro tipo de contenido malicioso, agregó al respecto el sitio especializado Hipertextual.

El equipo de seguridad detectó que la aplicación de Tinder no tiene el protocolo de seguridad Https básica (que actualmente usa la mayoría de los sitios web), lo que implica un riesgo.

Los investigadores crearon una aplicación de prueba denominada TinderDrift, que puede reconstruir la sesión de un usuario en Tinder si la persona está usando el mismo Wi-Fi.

El laboratorio antimalware aclaró que si bien los deslizamientos (swipe, en inglés) y coincidencias (matches) están encriptados con Https, un atacante puede diferenciar los comandos cifrados por los patrones específicos de bytes que representan un deslizamiento hacia la izquierda (278 bytes), otro hacia la derecha (374 bytes) , un y un match (581 bytes).

De esta forma, puede llegar a descubrir “casi todo” lo que un usuario de Tinder hace, en caso de tener conocimientos para combinar las fotos interceptadas con el control de los comandos encriptados. Lo único que permanece privado son los mensajes y las fotos que se envían entre los usuarios después de lograr una coincidencia.

El problema, dice la empresa de ciberseguridad, es que un cibercriminal con conocimiento de las preferencias sexuales de un usuario u otra información privada puede potencialmente chantajear a esa persona.

“Como cualquier otra compañía de tecnología, estamos constantemente mejorando nuestras defensas en la batalla contra los hackers maliciosos. Por ejemplo, nuestras plataformas web para PC y móviles ya encriptan las imágenes de perfil y estamos trabajando para encriptar también las fotos de perfil en nuestra aplicación”, dijeron desde Tinder.