Tinder es una de las aplicaciones para ligar más populares y utilizadas en el mundo, y durante los últimos años ha sido objeto de debate por el uso que le dan los jóvenes a este tipo de servicio, sin embargo, el día de hoy nuevamente la empresa ocupa los titulares de muchos medios especializados en el mundo después de que se descubriera un fallo de seguridad que permite espiar información y fotografías de los usuarios en la aplicación.
Y aunque el problema ya es grave, las cosas se ponen peor ahora que han descubierto que estos problemas son derivados de errores de la empresa que cualquier compañía que maneje información sensible de usuarios debería tener en cuenta, y es que todo parece indicar que la app de Tinder se comunica con los servidores sin encriptar las información, o al menos así sucede con casi toda la información que se procesa en la aplicación, pues únicamente los mensajes directos, “likes”, “dislikes” y “Match” están encriptados.
La empresa que ha descubierto el fallo fue Checkmarx, quien también ha dejado claro que es muy sencillo espiar la actividad de Tinder mientras estemos conectados a la misma red WiFi del usuario en cuestión, pues a pesar de que sí hay información encriptada, hay paquetes de bytes tan concretos que es muy fácil identificar que significa cada cosa que hace el usuario en la aplicación de Android y iOS.
Para ejemplificar este caso, los investigadores han demostrado que no se necesita equipo complejo para poder ver toda esta información, pues el hecho de que Tinder transmita información por protocolos no seguros es fácil capturar el tamaño de los paquetes de bytes enviados, donde cada paquete de 374 bytes es un “like”, un paquete de 278 significa que el usuario rechazó la fotografía, mientras que un paquete de 581 bytes significa que hubo un “Match”.
Hasta aquí las cosas no son tan graves como parece, pues lo único que se hace es espiar la actividad del usuario, algo que no debería de suceder pero que hasta cierta medida parecería no ser algo tan grave, sin embargo, el fallo también permite que el atacante sea capaz de visualizar las mismas fotografías que su víctima, y peor aún, puede colocar imágenes falsas que el usuario atacado podría identificar como parte de un perfil real.
Según menciona la empresa de seguridad, si bien no está involucrado el robo de credenciales ni el impacto financiero inmediato en este proceso, un atacante dirigido a un usuario vulnerable puede chantajear a la víctima, amenazando con exponer información altamente privada del perfil Tinder del usuario y las acciones en la aplicación.
Al parecer esta información fue compartida con Tinder tiempo atrás, y Checkmarx ha mencionado que en las últimas pruebas Tinder corrigió algunos de los problemas, pero que aún es posible espiar a los usuarios, por lo que esperan que la empresa no tarde en solucionar estos errores después de la publicación de la investigación.