Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Tinder sigue utilizando peticiones inseguras HTTP para ver fotografias en iOS y Android




A estas alturas, uno asume que todas las aplicaciones se toman la molestia de cifrar la actividad del usuario para no dejar su privacidad expuesta, pero un estudio descubre que ese no es el caso de Tinder. Aunque sí cifra otras cosas como los mensajes privados, Tinder carece de un cifrado HTTPS básico para todas las fotos en las apps de Tinder para iOS y Android





La firma de seguridad Checkmarx investigó las dos principales vulnerabilidades en la app de Tinder que pueden ser aprovechadas por piratas informáticos para violar tu privacidad. Investigadores de la empresa de seguridad Checkmarx, con sede en Tel Aviv, demostraron que esta vulnerabilidad se puede explotar para ver las fotos que está subiendo un usuario, inyectar una imagen cualquiera en su flujo de datos e incluso saber a qué personas da like o con quién hace match en la aplicación de citas (siempre que el atacante se encuentre en la misma red wifi).


El equipo de investigación de seguridad de la firma de soluciones de software Checkmarx ha publicado este miércoles 22 de enero los resultados de una investigación sobre las dos principales vulnerabilidades en la popular aplicación de citas Tinder que pueden ser explotadas por piratas informáticos para potencialmente violar la privacidad de sus usuarios en más de 196 países.
Estas vulnerabilidades en Tinder, tanto en iOS como en Android, permiten a un atacante que esté usando la misma red Wi-Fi que un usuario monitorear cada uno de sus movimientos en la aplicación
  • A) Insecure HTTP Connections (Conexiones inseguras en HTTP)
  • B) Predictable HTTPS Response Size (Tamaño respuesta HTTPS predecible)

En sus pruebas de concepto con las apps de Tinder para iOS y Android, los investigadores consiguieron reproducir estos escenarios con la facilidad de quien mira de reojo a la pantalla de otra persona. De hecho, lo hicieron mientras simulaban en tiempo real lo que estaba viendo el usuario en su smartphone mediante un software que llaman TinderDrift:

Parece que todo el tráfico de Tinder usa HTTPS cuando se utiliza un navegador, con la mayoría de las imágenes descargadas en lotes desde el puerto 443 (HTTPS) en images-ssl.gotinder.com.

Sin embargo en la aplicación móvil las descargas de imágenes se realizan a través de URL que comienzan con http://images.gotinder.com, por lo que se descargan de forma insegura.
http://images.gotinder.com



Hay que aclarar que, si bien las fotos están sin cifrar, los likes, los nopes y los matches de un usuario no circulan en texto plano por la wifi. Los investigadores tuvieron que extraer esta información de los datos que Tinder sí encripta. Y tampoco fue tan complicado. Descubrieron que los diferentes eventos de la aplicación producen patrones de bytes reconocibles, incluso en su forma cifrada: así, un deslizamiento a la izquierda para rechazar a alguien se representa con 278 bytes, un deslizamiento a la derecha con 374 bytes, y un match con 581 bytes.

La firma de seguridad creó una aplicación de prueba de concepto llamada TinderDrift capaz de reconstruir la sesión de un usuario en Tinder si la persona está usando el mismo Wi-Fi. Aunque los swipe (deslizamientos) y los matches permanecen encriptados con HTTPS

Sabiendo esto, y gracias a que las fotos están sin cifrar, exponer la privacidad del usuario es pan comido. Checkmarx asegura que notificó a Tinder sobre estos hallazgos en noviembre, pero la compañía sigue sin solucionar el problema. Una posible solución sería rellenar los comandos cifrados con ruido para que todos tengan el mismo tamaño. Mientras tanto, te recomendamos que tengas cuidado con las redes wifi públicas cuando estés tratando de encontrar el amor.

Kaspersky Lab con sede en Moscú también había revelado dichas vulnerabilidades en octubre pasado, luego de que sus investigadores hackearan diversas apps de citas en busca de exploits. Su equipo también descubrió que Tinder carga las fotos a través de un HTTP sin cifrar, lo que les permitió ver qué perfiles habían visto y qué imágenes habían pinchado los usuarios.


Fuentes:
https://es.gizmodo.com/la-falta-de-cifrado-de-tinder-permite-que-otros-puedan-1822349303
https://hipertextual.com/2018/01/hackers-pueden-ver-tus-fotos-matches-tinder

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.