En un mundo como en el que vivimos, donde Internet es casi un recurso indispensables para la comunicación entre las personas, la privacidad es un beneficio que no podemos darnos el lujo de poner en riesgo. Pese al interés de muchas compañías en ofrecer las mejores alternativas en este sentido, siempre surgen fallos de seguridad en aplicaciones y plataformas de las que hacemos uso a diario.
Esta vez se trata de Tinder, la popular app para ligar, cuyo error de seguridad radica en la falta de cifrado de la actividad del usuario. Al menos eso es lo que han dicho los investigadores de la firma de seguridad Checkmark, quienes afirmaron a través de un informe que, a pesar de que Tinder cifra los mensajes privados de los usuarios, no cuenta con cifrado HTTPS básico que pueda encriptar las fotografías.
La empresa con sede en Tel Aviv logró demostrar que la vulnerabilidad puede ser explotada para ver las fotografías que un determinado usuario está subiendo a la app e incluso conocer a qué personas los usuarios dan Likes, o con quien hacen Match en la popular app de citas. Esto es posible siempre y cuando el hacker esté usando la misma red Wi-Fi.
A través de sus pruebas de concepto con las versiones para Android e iOS de Tinder, los expertos pudieron reproducir estas situaciones con gran facilidad, algo alarmante para quienes utilizan a menudo la aplicación. De hecho, utilizaron un software llamado TinderDrift para simular en tiempo real lo que veía un usuario en su Smartphone.
Es importante dejar claro que, a pesar de que las fotografías no cuentan con cifrado, los likes, matches, y nopes de un determinado usuario no se transfieren en texto plano mediante la red Wi-Fi. Los analistas de CheckMark obtuvieron esta información de los datos que sí encripta la aplicación, algo que no resultó tan complejo, ya que reconocieron que diversas actividades dentro de la app generan patrones de Bytes fácilmente reconocibles, incluso si están cifrados.
De esta forma, si alguien realiza un deslizamiento hacia la izquierda en señal de rechazo a alguien, esto representa 278 bytes, mientras que un deslizamiento hacia la derecha genera 374 bytes. Un match se representa con 581 bytes.
Al conocer esta información, y teniendo en cuenta que las fotografías no están cifradas, vulnerar la privacidad de los usuarios es tarea sencilla. La compañía de seguridad reveló que ha informado a Tinder sobre el fallo, sin embargo el problema se mantiene. Finalmente, los analistas plantean como solución rellenar con ruido todos los comandos cifrados con el fin de que todos se vean con el mismo tamaño.
