14837259957_aaf54a13f4_o.jpg

Según expertos de Kaspersky Lab, las aplicaciones para ligar podrían revelar datos tan sensibles como la ubicación o los mensajes que se mandan a través de sus servicios. Y esto podría conseguirse con hasta tres tipos de ataques.

Para llevar a cabo su estudio, los investigadores de la controvertida compañía rusa han analizado una selección de las aplicaciones de citas en línea más populares tanto de Android como de iOS. Las escogidas han sido Tinder, Bumble, Ok Cupid, Badoo, Mamba, Zoosk, Happn, WeChat y Paktor, siendo llamativa la ausencia de otras como Grindr o Scruff.

Varias formas de acceder a los datos sensibles

El primer intento de interceptación de datos de la investigación ha empleado uno de los métodos más sencillos: la utilización de datos públicos para encontrar datos privados. Hablamos del nombre facilitado, la fotografía, la edad o el trabajo.

En Tinder, Happn y Bumle el usuario puede especificar información sobre su trabajo y estudios. Utilizando esta información, en el 60% de los casos logramos encontrar las páginas de los usuarios en otras redes sociales, como Facebook y LinkedIn, y establecer sus nombres y apellidos.

Con esta nueva información, un atacante podría descubrir más datos, rastrear movimientos, conocer círculos de amistades e incluso tener la posibilidad de enviar mensajes privados a través de esas nuevas redes conocidas, algo que no sería posible en las aplicaciones de citas sin una interacción de la otra parte.

Otro dato incluido en varias de las aplicaciones analizadas por los investigadores, como es el de la ubicación, también podría ser descubierto. Normalmente estos servicios ofrecen la distancia de un individuo respecto a otro, algo aparentemente inofensivo. Sin embargo, mediante una triangulación de la misma mediante el fingimiento de coordenadas por parte del atacante, podría descubrirse la localización más o menos exacta.

«En particular, encontramos que los usuarios de Tinder, Mamba, Zoosk, Happn, WeChat y Paktor son susceptibles a este ataque», indican los trabajadores de Kaspersky Lab.

Enviando Mensajes Movil Iphone

La tercera vía para obtener datos que se ha empleado en el análisis ha sido la interceptación del tráfico sin cifrar entre las aplicaciones y sus servidores, así como al ataque conocido como MITM, ataque de intermediario o man-in-the-middle.

La aplicación Mamba, por ejemplo, según Unuchek, Kuzin y Zelensky, envía datos sin cifrar, entre ellos los mensajes, con la consecuente falta de privacidad.

De esta manera, un atacante puede ver e incluso modificar todos los datos que la aplicación intercambia con el servidor, incluidos los mensajes personales. Además, puede obtener acceso a la administración de la cuenta utilizando algunos de los datos interceptados.

Por último, los investigadores de Kaspersky Lab señalan la posibilidad de acceder al historial de mensajes o la caché de fotos de perfiles vistos de varias de las aplicaciones si en Android un atacante aprovechase los permisos de root.

Así, utilizando derechos de superusuario, pudimos obtener los tokens de autorización (principalmente de Facebook) de casi todas las aplicaciones. […] La mayoría de las aplicaciones que estudiamos (Tinder, Bumble, OK Cupid, Badoo, Happn y Paktor) guardan el historial de mensajes en la misma carpeta que el token. Como resultado, si el delincuente obtiene los derechos de superusuario, también obtiene acesso a la correspondencia. […] Si se recibe acceso a la carpeta de la caché, podrá ver qué cuestionarios visualizó el usuario.

En cualquier caso, tratándose de un estudio de una compañía encargada de la seguridad de usuarios y otras compañías, hay que ser cautos. A pesar de que a la vista de las averiguaciones las vulnerabilidades sí parezcan ser aproximadas al relato difundido por los investigadores.

Imágenes | Denis Bocquet y StockSnap
En Genbeta | El plan de Kaspersky para permitir la revisión de su código fuente e intentar lavar su imagen

También te recomendamos


Intel lanza una web que destaca las amenazas de seguridad más relevantes del momento


Los exploits liberados por los Shadow Brokers están siendo usados para hackear miles de PCs con Windows


El lavavajillas importa: por qué deberías invertir más en el electrodoméstico que más ayuda en la cocina


La noticia

Tinder, Ok Cupid, Badoo y otras apps para ligar podrían exponer mensajes y ubicaciones

fue publicada originalmente en

Genbeta

por
Toni Castillo

.

Powered by WPeMatico

Comenta activando la opción de publicar también en Facebook. Gracias

comentarios

Charlemos via Whatsapp
Compartir whatsapp