A principios de este año, investigadores revelaron un fallo de seguridad que exponía la ubicación y el estatus de VIH de los usuarios de la aplicación de citas para usuarios gay Grindr. Posteriormente, se ha revelado a través de un nuevo informe que la app aún expone la ubicación precisa de cada usuario debido a que no incluye bloqueo de acceso de terceros a la API privada.
La publicación revela que Grindr ha expuesto la ubicación de los usuarios durante varios años, sin embargo, lo más grave de esto es que el desarrollador conoce el fallo y no se han tomado medidas adicionales para resolverlo.
Hasta ahora, la aplicación promedia al menos 10 millones de descargas y sus servicios van desde una suscripción gratuita o incluso paga si se desea acceder a más funciones. Sin embargo, el informe revelado por Queer Europe asegura que para exponer la ubicación de los usuarios se ha utilizado una técnica llamada trilateración, que permite saber a los usuarios qué tan lejos están de los demás usuarios con cierta precisión.
Applications designed to locate Grindr users are publicly available online, and give anyone access to a virtual map on which you can travel from city to city, and from country to country, while seeing the exact location of cruising men that share their distance online. pic.twitter.com/0IumD6laAE
— Queer Europe 🏳️🌈 (@QueerEurope) September 13, 2018
BuzzFeed reveló que partir de esta técnica ha sido creada una herramienta llamada Fuckr, cuyo código abierto está disponible en Github, que generó una gran cantidad de bifurcaciones que posteriormente se tradujeron en la exposición de datos privados de los usuarios.
El hecho de que Grindr te permita saber cuán lejos estás de otro usuario, hace que sea muy sencillo utilizar estos datos de ubicaciones cercanas con propósitos maliciosos. Por ejemplo, la API de Grindr es capaz de permitir que apps no oficiales como Fuckr realizan al menos 600 solicitudes de API cada segundo, algo que a su vez permite que las ubicaciones de un gran número de usuarios sean conocidas con rapidez.
Sin embargo, más allá de esta falla, esta API ofrece la posibilidad de acceder a la base de datos de la aplicación y acceder a una gran cantidad de datos de los usuarios. La recomendación de Queer Europe para Grindr es desactivar la opción por defecto que permite a los usuarios conocer ubicaciones a distancia, al tiempo que instó a la compañía a ser más transparente en relación a la manera en que terceros acceden y procesan datos a distancia de su aplicación.
