¡Cuidado!: por la falta de cifrado cualquiera podría espiar tu actividad en Tinder

Una firma de seguridad informática detectó vulnerabilidades en la aplicación para iOS y Android que exponen los likes, rechazos y matches. De qué se trata y cómo se puede proteger el usuario

Guardar

La firma de seguridad informática Checkmarx demostró que la aplicación de Tinder para iOS y Android carece de encriptación HTTPS para las fotos. Es decir que las imágenes se transmiten a través del teléfono sin este cifrado de protección básico, con lo cual se pueden interceptar con facilidad.

Cabe aclarar que el protocolo HTTPS es utilizado por la mayoría de los sitios y aplicaciones que quieren proteger la privacidad de los usuarios desde hace varios años.

Los investigadores demostraron que con tan solo estar conectados a la misma red wi fi que cualquier usuario en Tinder, podían ver todas las imágenes que visualizaba esa persona e incluso podían añadir fotos a esa secuencia.

Si bien hay otros datos que en Tinder cuentan con cifrado HTTPS, la compañía demostró que el sistema se puede vulnerar con bastante facilidad para poder ver los likes, rechazos y matches de cualquier usuario.

Para demostrar esto, Checkmark desarrolló un software al que llamaron TinderDrift y lo corrieron en una computadora conectada a una red wi fi done también estaban conectados varios usuarios de Tinder y en poco tiempo lograron ver desde la pantalla de la computadora cada uno de los movimientos de todos ellos.

Captura de la demo Thinder
Captura de la demo Thinder Drift que hicieron los investigadores de seguridad para demostrar la vulnerabilidad del sistema

Esto fue posible porque descubrieron que ciertos eventos en la aplicación producen determinados patrones de bytes que se podían identificar incluso a pesar de estar encriptados.

El rechazo o deslizamiento a la izquierda está representado con 278 bytes; en tanto que el like o deslizamiento a la derecha se representa con 374 bytes y un match son 581 bytes.

Si se combinan esos datos con las fotos que se interceptan por carecer de encriptación, TinderDrift puede saber, en tiempo real, qué usuarios reciben aprobación, rechazo o un match. Lo único que no queda expuesto, al menos por el momento, son los mensajes privados que se envían los usuarios.

Si bien Checkmarx notificó a Tinder sobre esta vulnerabilidad en noviembre, la plataforma todavía no resolvió el problema.

LEA MÁS: Cómo es Haven, la app que creó Snowden para usar el celular como una cámara de vigilancia

Desde Tinder aseguraron que "como cualquier compañía de tecnología están constantemente trabajando para mejorar su seguridad para defenderse contra hackers maliciosos", según publicó Wired.
Por otra parte, aclararon que la versión web de Tinder está encriptada en HTTPS y que se planea ofrecer esta opción también a las fotos que se comparten a través de la app.

De acuerdo con los investigadores, para solucionar esto no sólo habría que encriptar las fotos sino también modificar ciertos comandos en la app de modo tal que no se representan con un patrón fijo y puedan ser realmente indescifrables.

En principio y hasta tanto no se solucione este inconveniente, la única protección es evitar estar conectados a una misma red wi fi cuando se usa la aplicación, para que el tráfico no queda expuesto y no pueda ser interceptado por cualquier atacante, sugiere Camilo Gutierrez, jefe de laboratorio de ESET Latinoamérica, en diálogo con Infobae.

LEA MÁS: 

Preguntamos a varias chicas en qué se fijan para dar "like" en Tinder

Cómo evitar que espíen tus conversaciones de WhatsApp

Las polémicas aplicaciones para espiar celulares

Guardar