Según un grupo de expertos en seguridad informática de la polémica empresa rusa Kaspersky Lab, algunas aplicaciones móviles para encontrar pareja podrían revelar información sensible de los usuarios, como su ubicación o los mensajes enviados a través de ellas. De hecho, los hackers podrían hacerse con estos datos mediante tres distintos tipos de ataques.
Para realizar la investigación, los investigadores de Kaspersky analizaron las apps de citas más populares de la actualidad, tanto para sus versiones en Android como para iOS. Las candidatas para el análisis fueron Tinder, Ok Cupid, Bumble, Badoo, Zoosk, Mamba, Happn, WeChat y Paktor. Otras como Scruff o Grindr no fueron seleccionadas.
Diversas posibilidades para los hackers
En un primer intento por interceptar los datos de los usuarios, Kaspersky utilizó métodos simples, como utilizar datos públicos para hallar datos privados. En este sentido, utilizó la edad, la ocupación del usuario y su fotografía. La compañía reveló a través de un comunicado:
“En Tinder, Happn y Bumble, el usuario puede especificar información sobre su trabajo y estudios. Utilizando esta información, en el 60% de los casos logramos encontrar las páginas de los usuarios en otras redes sociales, como Facebook, y encontrar sus nombres y apellidos”.
A través de esta información, un atacante podría encontrar más datos de los usuarios, como su círculo social, rastrear sus movimientos, e incluso enviar mensajes privados mediante estas redes sociales, algo que sería imposible en estas apps de citas sin interactuar con otra persona.
Otro dato que puede ser descubierto por los hackers es la ubicación. Por lo general, estos servicios para encontrar pareja muestran la distancia entre un usuario y otro, algo que incluso suena divertido.
Sin embargo, a través de un proceso de triangulación de ubicaciones en el que el atacante establece coordenadas de forma aleatoria, se puede descubrir casi con exactitud la ubicación de una persona. Las apps susceptibles a este ataque en particular son Tinder, Mamba, Happn, Zoosk, Paktor y WeChat.
Una tercera manera de obtener la información de los usuarios es interceptar el tráfico sin cifrado de datos entre las apps y sus servidores, así como el ataque de intermediario (man-in-the-middle), conocido también como MITM. Una de las aplicaciones más vulnerables en este caso es Mamba, ya que envía datos no cifrados, por lo cual el atacante puede modificar todos los datos de la app y administrar la cuenta.
Finalmente, Kaspersky dijo que sus investigadores lograron demostrar que es posible acceder al caché de fotos de perfil vistas o incluso al historial de mensajes de varias apps en Android, en caso de que el hacker decida aprovecharse de los permisos de root.
