El equipo de investigación de seguridad de la firma de soluciones de software Checkmarx ha publicado este miércoles 22 de enero los resultados de una investigación sobre las dos principales vulnerabilidades en la popular aplicación de citas Tinder que pueden ser explotadas por piratas informáticos para potencialmente violar la privacidad de sus usuarios en más de 196 países.

Estas vulnerabilidades en Tinder, tanto en iOS como en Android, permiten a un atacante que esté usando la misma red Wi-Fi que un usuario monitorear cada uno de sus movimientos en la aplicación, señala el informe de la empresa con sede en Tel Aviv titulado ¿Estás en Tinder? Alguien podía estar mirándote deslizar. También es posible que tome el control de las imágenes de perfil que ve, intercambiándolas por contenido inapropiado, publicidad deshonesta u otro tipo de contenido malicioso.

Falta de encriptación HTTPS básica, la culpable de poner en peligro tu privacidad en Tinder

El exploit tiene que ver con el cifrado, o más bien la falta del mismo, pues los investigadores encontraron que la aplicación de Tinder aún carece de encriptación HTTPS básica, lo que significa que cualquier persona que comparta el mismo Wi-Fi puede ver tus fotos de Tinder o agregar las suyas en la galería de tu perfil.

El cifrado HTTPS es un protocolo estándar actualmente usado por la mayoría de los sitios web, según estadísticas de Mozilla. A partir de enero de 2018, el 68% de internet cuenta con encriptado HTTPS, que es el símbolo de bloqueo seguro que aparece al lado de la URL en la barra de direcciones. Aunque HTTPS no es infalible, al menos sigue siendo una protección básica contra los piratas informáticos.

La firma de seguridad creó una aplicación de prueba de concepto llamada TinderDrift capaz de reconstruir la sesión de un usuario en Tinder si la persona está usando el mismo Wi-Fi. Aunque los swipe (deslizamientos) y los matches permanecen encriptados con HTTPS, explica Checkmarx, un hacker puede diferenciar los comandos cifrados debido a los patrones específicos de bytes que representan un deslizamiento hacia la izquierda, un deslizamiento hacia la derecha, un Super Like y un match.

Los investigadores señalan que un pirata informático puede descubrir casi todo lo que un usuario de Tinder está viendo y haciendo si tienen conocimientos para combinar las fotos interceptadas con el control de los comandos encriptados. Lo único que permanece privado son los mensajes y las fotos que se envían entre los usuarios después de un hacer match.

De acuerdo con Checkmarx, el problema es que un hacker con conocimiento de las preferencias sexuales de un usuario u otra información privada podría potencialmente chantajear a esa persona, o bien, intercambiar las fotos que un usuario ve por contenido inapropiado o publicidad deshonesta.

Kaspersky Lab con sede en Moscú también había revelado dichas vulnerabilidades en octubre pasado, luego de que sus investigadores hackearan diversas apps de citas en busca de exploits. Su equipo también descubrió que Tinder carga las fotos a través de un HTTP sin cifrar, lo que les permitió ver qué perfiles habían visto y qué imágenes habían pinchado los usuarios.