25/01/2018

Dos vulnerabilidades en la popular aplicación de citas Tinder fueron detectadas esta semana por una empresa de ciberseguridad, la cual alertó que son fallas que pueden ser explotadas por atacantes informáticos para potencialmente acceder a la actividad privada de los usuarios de esa app, tales como sus deslizamientos.


Presentes tanto en iOS como en Android, las vulnerabilidades abren la puerta para que un atacante que esté usando la misma red Wifi que un usuario determinado, pueda monitorear sus movimientos, reveló el equipo de seguridad de la firma Checkmarx, con sede en Tel Aviv.


La investigación titulada "¿Estás en Tinder? Alguien podría estar mirando tus deslizamientos" ("Are you on Tinder? Someone may be watching you swipe"), también señala que es posible que el intruso tome el control de las imágenes de perfil que ven las personas, intercambiándolas por contenido inapropiado, publicidad deshonesta u otro tipo de contenido malicioso, agregó al respecto el sitio especializado Hipertextual.


El equipo de seguridad detectó que la aplicación de Tinder no tiene el protocolo de seguridad Https básica (que actualmente usa la mayoría de los sitios web), lo que implica un riesgo.


El protocolo de Https, que figura como un candado verde y un certificado al lado de la dirección URL ,no es infalible pero hoy representa una medida de seguridad indispensable.


Los investigadores crearon una aplicación de prueba denominada TinderDrift, que puede reconstruir la sesión de un usuario en Tinder si la persona está usando el mismo Wi-Fi.


Es decir, el atacante solo podrá explotar la vulnerabilidad si su víctima y él están usando la misma red Wifi.


El laboratorio antimalware aclaró que si bien los deslizamientos (swipe, en inglés) y coincidencias (matches) están encriptados con Https, un atacante puede diferenciar los comandos cifrados por los patrones específicos de bytes que representan un deslizamiento hacia la izquierda (278 bytes), otro hacia la derecha (374 bytes) , un y un match (581 bytes).


De esta forma, puede llegar a descubrir "casi todo" lo que un usuario de Tinder hace, en caso de tener conocimientos para combinar las fotos interceptadas con el control de los comandos encriptados.


Lo único que permanece privado son los mensajes y las fotos que se envían entre los usuarios después de lograr una coincidencia.


El problema, aseguran desde la empresa de ciberseguridad, es que un cibercriminal con conocimiento de las preferencias sexuales de un usuario u otra información privada puede potencialmente chantajear a esa persona, o bien, intercambiar las fotos que ve por contenido inapropiado o publicidad deshonesta.


“Tomamos la seguridad de nuestros usuarios seriamente. Utilizamos una red de herramientas y sistemas para proteger la integridad de nuestra plataforma", sostuvo un vocero de Tinder, tras ser consultado por Télam sobre este tema.


El representante agregó a través de un correo electrónico enviado a esta agencia: "es importante notar que Tinder es una plataforma gratuita global y las imágenes que alojamos en la app son fotos de perfil, que son visibles para cualquiera que haga swipe (deslizamientos) en la aplicación".


"Como cualquier otra compañía de tecnología, estamos constantemente mejorando nuestras defensas en la batalla contra los hackers maliciosos. Por ejemplo, nuestras plataformas web para PC y móviles ya encriptan las imágenes de perfil y estamos trabajando para encriptar también las fotos de perfil en nuestra aplicación", relató.


"Sin embargo, no daremos más detalles de las herramientas de seguridad específicas que utilizamos o las mejoras que implementaríamos en el futuro, para no alertar a potenciales hackers”, concluyó el vocero.

DEPORTES