Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
▼
2018
(Total:
150
)
-
▼
enero
(Total:
14
)
- Una app de fitness revela ubicaciones de bases y p...
- Microsoft publica parche para desactivar la actual...
- LibreOffice 6.0 llegará con mejoras de diseño
- Con 15 años robó información secreta de Estados Un...
- Herramienta utilizada en todos los juegos de Blizz...
- Tinder sigue utilizando peticiones inseguras HTTP ...
- Hospital paga 55 mil dólares por un Ransomware a p...
- La agencia de emergencias de Hawái mostró un post-...
- Nueva oleada de phishing para robar cuentas de Net...
- Barcelona usará más software libre y menos product...
- Múltiples vulnerabilidades en NAS de Western Digit...
- Analizan posible fallo de seguridad en los chats g...
- Parches de seguridad para Meltdown y Spectre
- Error de diseño en las CPU Intel: solucionarlo ral...
-
▼
enero
(Total:
14
)
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
305
)
Malware
(
265
)
Windows
(
246
)
android
(
244
)
cve
(
237
)
tutorial
(
237
)
manual
(
222
)
software
(
206
)
hardware
(
196
)
linux
(
127
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
68
)
app
(
65
)
Networking
(
57
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
firmware
(
44
)
adobe
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Tinder sigue utilizando peticiones inseguras HTTP para ver fotografias en iOS y Android
jueves, 25 de enero de 2018
|
Publicado por
el-brujo
|
Editar entrada
A estas alturas, uno asume que todas las aplicaciones se toman la
molestia de cifrar la actividad del usuario para no dejar su
privacidad expuesta, pero un estudio descubre que ese no es el
caso de Tinder. Aunque sí cifra otras cosas como los mensajes privados, Tinder carece de
un cifrado HTTPS básico para todas las fotos en las apps de Tinder para iOS y Android
La firma de seguridad Checkmarx investigó las dos principales vulnerabilidades en la app de Tinder que pueden ser aprovechadas por piratas informáticos para violar tu privacidad. Investigadores de la empresa de seguridad Checkmarx, con sede en Tel Aviv, demostraron que esta vulnerabilidad se puede explotar para ver las fotos que está subiendo un usuario, inyectar una imagen cualquiera en su flujo de datos e incluso saber a qué personas da like o con quién hace match en la aplicación de citas (siempre que el atacante se encuentre en la misma red wifi).
El equipo de investigación de seguridad de la firma de soluciones de software Checkmarx ha publicado este miércoles 22 de enero los resultados de una investigación sobre las dos principales vulnerabilidades en la popular aplicación de citas Tinder que pueden ser explotadas por piratas informáticos para potencialmente violar la privacidad de sus usuarios en más de 196 países.
Estas vulnerabilidades en Tinder, tanto en iOS como en Android, permiten a un atacante que esté usando la misma red Wi-Fi que un usuario monitorear cada uno de sus movimientos en la aplicación
En sus pruebas de concepto con las apps de Tinder para iOS y Android, los investigadores consiguieron reproducir estos escenarios con la facilidad de quien mira de reojo a la pantalla de otra persona. De hecho, lo hicieron mientras simulaban en tiempo real lo que estaba viendo el usuario en su smartphone mediante un software que llaman TinderDrift:
Parece que todo el tráfico de Tinder usa HTTPS cuando se utiliza un navegador, con la mayoría de las imágenes descargadas en lotes desde el puerto 443 (HTTPS) en images-ssl.gotinder.com.
Sin embargo en la aplicación móvil las descargas de imágenes se realizan a través de URL que comienzan con http://images.gotinder.com, por lo que se descargan de forma insegura.
Hay que aclarar que, si bien las fotos están sin cifrar, los likes, los nopes y los matches de un usuario no circulan en texto plano por la wifi. Los investigadores tuvieron que extraer esta información de los datos que Tinder sí encripta. Y tampoco fue tan complicado. Descubrieron que los diferentes eventos de la aplicación producen patrones de bytes reconocibles, incluso en su forma cifrada: así, un deslizamiento a la izquierda para rechazar a alguien se representa con 278 bytes, un deslizamiento a la derecha con 374 bytes, y un match con 581 bytes.
La firma de seguridad creó una aplicación de prueba de concepto llamada TinderDrift capaz de reconstruir la sesión de un usuario en Tinder si la persona está usando el mismo Wi-Fi. Aunque los swipe (deslizamientos) y los matches permanecen encriptados con HTTPS
Sabiendo esto, y gracias a que las fotos están sin cifrar, exponer la privacidad del usuario es pan comido. Checkmarx asegura que notificó a Tinder sobre estos hallazgos en noviembre, pero la compañía sigue sin solucionar el problema. Una posible solución sería rellenar los comandos cifrados con ruido para que todos tengan el mismo tamaño. Mientras tanto, te recomendamos que tengas cuidado con las redes wifi públicas cuando estés tratando de encontrar el amor.
Kaspersky Lab con sede en Moscú también había revelado dichas vulnerabilidades en octubre pasado, luego de que sus investigadores hackearan diversas apps de citas en busca de exploits. Su equipo también descubrió que Tinder carga las fotos a través de un HTTP sin cifrar, lo que les permitió ver qué perfiles habían visto y qué imágenes habían pinchado los usuarios.
Fuentes:
https://es.gizmodo.com/la-falta-de-cifrado-de-tinder-permite-que-otros-puedan-1822349303
https://hipertextual.com/2018/01/hackers-pueden-ver-tus-fotos-matches-tinder
La firma de seguridad Checkmarx investigó las dos principales vulnerabilidades en la app de Tinder que pueden ser aprovechadas por piratas informáticos para violar tu privacidad. Investigadores de la empresa de seguridad Checkmarx, con sede en Tel Aviv, demostraron que esta vulnerabilidad se puede explotar para ver las fotos que está subiendo un usuario, inyectar una imagen cualquiera en su flujo de datos e incluso saber a qué personas da like o con quién hace match en la aplicación de citas (siempre que el atacante se encuentre en la misma red wifi).
El equipo de investigación de seguridad de la firma de soluciones de software Checkmarx ha publicado este miércoles 22 de enero los resultados de una investigación sobre las dos principales vulnerabilidades en la popular aplicación de citas Tinder que pueden ser explotadas por piratas informáticos para potencialmente violar la privacidad de sus usuarios en más de 196 países.
Estas vulnerabilidades en Tinder, tanto en iOS como en Android, permiten a un atacante que esté usando la misma red Wi-Fi que un usuario monitorear cada uno de sus movimientos en la aplicación
- A) Insecure HTTP Connections (Conexiones inseguras en HTTP)
- B) Predictable HTTPS Response Size (Tamaño respuesta HTTPS predecible)
En sus pruebas de concepto con las apps de Tinder para iOS y Android, los investigadores consiguieron reproducir estos escenarios con la facilidad de quien mira de reojo a la pantalla de otra persona. De hecho, lo hicieron mientras simulaban en tiempo real lo que estaba viendo el usuario en su smartphone mediante un software que llaman TinderDrift:
Parece que todo el tráfico de Tinder usa HTTPS cuando se utiliza un navegador, con la mayoría de las imágenes descargadas en lotes desde el puerto 443 (HTTPS) en images-ssl.gotinder.com.
Sin embargo en la aplicación móvil las descargas de imágenes se realizan a través de URL que comienzan con http://images.gotinder.com, por lo que se descargan de forma insegura.
http://images.gotinder.com
Hay que aclarar que, si bien las fotos están sin cifrar, los likes, los nopes y los matches de un usuario no circulan en texto plano por la wifi. Los investigadores tuvieron que extraer esta información de los datos que Tinder sí encripta. Y tampoco fue tan complicado. Descubrieron que los diferentes eventos de la aplicación producen patrones de bytes reconocibles, incluso en su forma cifrada: así, un deslizamiento a la izquierda para rechazar a alguien se representa con 278 bytes, un deslizamiento a la derecha con 374 bytes, y un match con 581 bytes.
La firma de seguridad creó una aplicación de prueba de concepto llamada TinderDrift capaz de reconstruir la sesión de un usuario en Tinder si la persona está usando el mismo Wi-Fi. Aunque los swipe (deslizamientos) y los matches permanecen encriptados con HTTPS
Sabiendo esto, y gracias a que las fotos están sin cifrar, exponer la privacidad del usuario es pan comido. Checkmarx asegura que notificó a Tinder sobre estos hallazgos en noviembre, pero la compañía sigue sin solucionar el problema. Una posible solución sería rellenar los comandos cifrados con ruido para que todos tengan el mismo tamaño. Mientras tanto, te recomendamos que tengas cuidado con las redes wifi públicas cuando estés tratando de encontrar el amor.
Kaspersky Lab con sede en Moscú también había revelado dichas vulnerabilidades en octubre pasado, luego de que sus investigadores hackearan diversas apps de citas en busca de exploits. Su equipo también descubrió que Tinder carga las fotos a través de un HTTP sin cifrar, lo que les permitió ver qué perfiles habían visto y qué imágenes habían pinchado los usuarios.
Fuentes:
https://es.gizmodo.com/la-falta-de-cifrado-de-tinder-permite-que-otros-puedan-1822349303
https://hipertextual.com/2018/01/hackers-pueden-ver-tus-fotos-matches-tinder
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.