27 oct. 2017

Tinder, OK Cupid y otras apps exponen datos sensibles de usuarios

Según Kaspersky Lab, algunas aplicaciones móviles para encontrar pareja podrían revelar información sensible de los usuarios, como su ubicación o los mensajes enviados a través de ellas. De hecho, los delincuentes podrían hacerse con estos datos mediante tres distintos tipos de ataques.

Los investigadores analizaron las apps de citas más populares de la actualidad, tanto para sus versiones en Android como para iOS. Las candidatas para el análisis fueron Tinder, Ok Cupid, Bumble, Badoo, Zoosk, Mamba, Happn, WeChat y Paktor. Otras como Scruff o Grindr no fueron seleccionadas.

En un primer intento por interceptar los datos de los usuarios, uutilizaron métodos simples, como utilizar datos públicos para hallar datos privados. En este sentido, utilizó la edad, la ocupación del usuario y su fotografía. La compañía reveló a través de un comunicado:

"En Tinder, Happn y Bumble, el usuario puede especificar información sobre su trabajo y estudios. Utilizando esta información, en el 60% de los casos logramos encontrar las páginas de los usuarios en otras redes sociales, como Facebook, y encontrar sus nombres y apellidos".

A través de esta información, un atacante podría encontrar más datos de los usuarios, como su círculo social, rastrear sus movimientos, e incluso enviar mensajes privados mediante estas redes sociales, algo que sería imposible en estas apps de citas sin interactuar con otra persona.

Otro dato que puede ser descubierto por los delincuentes es la ubicación. Por lo general, estos servicios para encontrar pareja muestran la distancia entre un usuario y otro, algo que incluso suena divertido.

Sin embargo, a través de un proceso de triangulación de ubicaciones en el que el atacante establece coordenadas de forma aleatoria, se puede descubrir casi con exactitud la ubicación de una persona. Las apps susceptibles a este ataque en particular son Tinder, Mamba, Happn, Zoosk, Paktor y WeChat.

Una tercera manera de obtener la información de los usuarios es interceptar el tráfico sin cifrado de datos entre las apps y sus servidores, así como el ataque de intermediario (Man-in-the-Middle), conocido también como MITM. Una de las aplicaciones más vulnerables en este caso es Mamba, ya que envía datos no cifrados, por lo cual el atacante puede modificar todos los datos de la app y administrar la cuenta.

Los investigadores lograron demostrar que es posible acceder al caché de fotos de perfil vistas o incluso al historial de mensajes de varias apps en Android, en caso de que el delincuente decida aprovecharse de los permisos de root.

Fuente: TekCrispy

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!