Los investigadores de Kaspersky Lab con sede en Moscú se dieron a la tarea de hackear nueve de las aplicaciones de citas más populares en busca de vulnerabilidades. En su investigación descubrieron numerosos exploits como el acceso a datos de localización de los usuarios, nombres reales e información de inicio de sesión, así como a su historial de mensajes y hasta los perfiles que han visto. Esto significa, señalan, que son vulnerables al chantaje y al acecho.
Roman Unuchek, Mikhail Kuzin y Sergey Zelensky investigaron la versión iOS y Android de Tinder, Bumble, OK Cupid, Badoo, Mamba, Zoosk, Happn, WeChat y Paktor. Para obtener los datos confidenciales, descubrieron que no es necesario infiltrarse en los servidores de las aplicaciones de citas. De hecho, la mayoría tienen un cifrado HTTPS mínimo, lo que facilita el acceso a los datos de las personas. Estos son los exploits que encontraron:
Seguimiento en otras redes sociales
La información que las personas revelan sobre sí mismas es fácilmente usada para hallar aquella que han ocultado, siendo Tinder, Happn y Bumble las más vulnerables a esto. Los investigadores aseguran que se puede tomar la información de empleo o educación del perfil de alguien y compararla con sus perfiles en otras redes sociales con un 60% de precisión.
Rastreo de ubicación
Los investigadores encontraron que varias aplicaciones son susceptibles a un exploit de rastreo de ubicación. Aunque es común que este tipo de apps cuenten con algún tipo de función de distancia para ver qué tan cerca o lejos estás de la otra persona, se supone que no deben revelar tu ubicación en tiempo real ni permitir que otros usuarios puedan delimitar dónde podrías estar. Para evitar esta situación, alimentaron las aplicaciones con coordenadas falsas y midieron las distancias cambiantes de los usuarios. En la trampa cayeron Tinder, Mamba, Zoosk, Happn, WeChat y Paktor.
Acceso a fotos
Tinder, Paktor y Bumble para Android, así como la versión iOS de Badoo, cargan las fotos a través de un HTTP sin cifrar, lo que permitió a los investigadores ver qué perfiles habían visto y en qué imágenes hicieron clic los usuarios. Asimismo, indicaron que la versión de iOS de Mamba se conecta al servidor usando el protocolo HTTP sin ningún tipo de cifrado. Esto les permitió extraer información del usuario, incluidos los datos de inicio de sesión, con lo que pudieron iniciar sesión y enviar mensajes.
Android
El sistema operativo de Google es exclusivamente vulnerable al exploit más dañino, aunque parece que requiere acceso físico al dispositivo. El uso de aplicaciones gratuitas, como KingoRoot, te otorga derechos de superusuario. Con ello, los investigadores pudieron encontrar el token de autenticación de Facebook para Tinder y obtuvieron acceso a la cuenta. El inicio de sesión desde Facebook está habilitado de forma predeterminada. Tinder, Bumble, OK Cupid, Badoo, Happn y Paktor resultaron vulnerables a ataques similares y, debido a que almacenan el historial de mensajes en el dispositivo, los superusuarios pudieron ver mensajes.
Los investigadores aseguran que ya han enviado sus hallazgos a los desarrolladores de las respectivas aplicaciones. Cabe destacar que no indagaron apps de citas homosexuales, como Grinder o Scruff. Finalmente, su recomendación es no acceder a ninguna app de citas a través de un Wi-Fi público, instalar un software que busque malware en tu teléfono y nunca especificar tu lugar de trabajo o información de identificación similar dentro de tu perfil de citas.