Noticias

Vulnerabilidades en Tinder permiten a los atacantes merodear en las sesiones de sus usuarios en tiempo real

El cifrado de las telecomunicaciones ha pasado a tomar un lugar clave en la protección de los datos de los internautas. La protección que nos ofrece es tan básica e importante que muchas veces se asume que los principales sitios web y aplicaciones protegen el contenido de sus usuarios de forma predeterminada, pero no siempre es así.

Un estudio de la compañía israelí Checkmarx ha revelado que la sección de fotos de la popular aplicación para conocer personas Tinder no cuenta con ningún tipo de cifrado, lo que las deja expuestas a intrusiones por parte de hackers que se encuentran en la misma red WiFi que su víctima.

Esto significa que cualquier ciberatacante no sólo podría ver las fotos de las personas que buscan encontrar pareja, sino que también podrían alterar el contenido de esta sección: si le place, podría cambiar las fotos por contenido vergonzoso, inapropiado, publicitario o malicioso y hasta desencadenar la expulsión del usuario de la plataforma.

Si bien las compatibilidades sí están cifradas, los atacantes pueden deducir a qué personas está seleccionando el usuario aprovechando una vulnerabilidad que les permite diferenciar los patrones específicos de bytes vinculados con las acciones de selección: deslizar la foto hacia la derecha para indicar interés y establecer una posibilidad de contacto; hacia la izquierda para rechazar a la posible pareja y dar un “Super Like” para atraer la atención de sus favoritos. Esta vulnerabilidad también permite al intruso saber cuándo se ha establecido compatibilidad entre dos usuarios, y si bien no tiene acceso a sus mensajes privados, con esta información puede saber cuándo se abre la posibilidad de establecer conversaciones y con quiénes.

De esta manera, el atacante puede combinar la información que recibe sobre los patrones de bytes en la sesión del usuario con las fotos sin cifrar de los perfiles que visita en tiempo real y deducir a quiénes está seleccionando y con quiénes puede ponerse en contacto.

Es más, los investigadores de Checkmarx desarrollaron una aplicación de prueba de concepto que llamaron TinderDrift. Esta aplicación se instala en un equipo conectado a cualquier red WiFi y está diseñada para reconstruir las sesiones completas de los usuarios que se conecten a Tinder en la misma red y transmitir al atacante información sobre sus acciones en la aplicación.

Las vulnerabilidades se encuentran en las versiones de Android e iOS de la aplicación. Los estudios han confirmado que la sección de mensajes, las credenciales de acceso a la cuenta de Tinder y los datos financieros de sus usuarios están a salvo de estas vulnerabilidades. Aun así, los datos que se exponen son suficientes para que un atacante los utilice para chantajear a su víctima y pedirle dinero a cambio de mantener en secreto sus fotos e información.

Fuentes

La falta de cifrado de Tinder permite que otros puedan ver a quién das like Gizmodo

Are You on Tinder? Someone May Be Watching You Swipe Checkmarx

Hackers can see your Tinder photos and figure out your matches The Verge

Vulnerabilidades en Tinder permiten a los atacantes merodear en las sesiones de sus usuarios en tiempo real

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada