En un mundo global como el que vivimos todos conocemos las mismas aplicaciones; y las usamos de manera indistinta por más que estemos en España, México o Estados Unidos. Por ejemplo… ¿Eres uno de los usuarios de Tinder? No hace falta esconderse, es una de las aplicaciones más populares para encontrar el amor o amistades con las que pasar el rato. También es una aplicación bastante insegura.
Los problemas de privacidad y seguridad de Tinder son graves ya que la app se comunica con los servidores sin encriptar parte de las conexiones. Sí protege los mensajes directos y los «swipes» o deslizado de las imágenes para indicar si queremos o no «match», pero no esas fotos. Con un detalle tan curioso como flagrante: pese a que los «likes» o «dislikes» están protegidos, cada uno se envía con una cantidad de bytes tan concreta que resulta muy sencillo saber los gustos de cualquier usuario.
Resulta demasiado sencillo espiar el uso de Tinder en la misma red WiFi
Los errores fueron localizados por una empresa de seguridad para las aplicaciones de Tel Aviv, Checkmarx. Sus investigadores descubrieron lo sencillo que resulta espiar la actividad de Tinder mientras el usuario esté en la misma red WiFi del atacante. Esto afectaría tanto a la aplicación de Android como a la de iOS.
Una buena parte de la información enviada y recibida por Tinder se transmite por protocolos no seguros. Esto implicaría que cualquiera con un equipo no demasiado complejo podría saber qué fotos se están viendo en la aplicación, sería capaz de visualizarlas en el dispositivo de ataque e, incluso, podría inyectar imágenes que el usuario de Tinder espiado no sabría identificar como falsas. Y lo peor: capturando el tamaño de los paquetes resulta muy sencillo saber cuál es la reacción a la imagen.
Según la investigación de Checkmarx, cada vez que el usuario descarta una foto el servidor le envía nuevos datos junto a un paquete encriptado de 278 bytes. En caso de que la foto se mueva a la derecha (like), la app de Tinder recibiría un paquete de 374 bytes. Y si finalmente hay «Match» (situación en la que existe una atracción entre usuarios), en la app entraría un paquete de 581 bytes. Todos los paquetes están encriptados, pero el tamaño revelaría la información necesaria.
Tinder habría mejorado la privacidad de la aplicación en su última versión de Android
Según remarcan los investigadores de Checkmarx, sus pruebas más recientes con la última versión de la app constatarían que Tinder habría tomado cartas en el asunto, al menos en parte. No significa que hayan corregido la posibilidad de espiar su uso, pero sí que resultaría más complicado. Es de esperar que, tras publicar la investigación, Tinder corrija todos los errores en las comunicaciones sin proteger.
¿Utilizas la aplicación de Tinder? Ya sabes: lo mejor es que no la uses en WiFis públicas. De hecho, siempre hay que tomar precauciones extra cuando se accede a este tipo de puntos de acceso.