Tinder: ver a un pirata informático espiar fácilmente un flujo de fotos y deslizar

Tinder ha sido violado. Según un informe publicado el martes por la compañía de seguridad de la aplicación Checkmarx, las vulnerabilidades en el cifrado de Tinder pueden permitir a los piratas informáticos espiar las cuentas activas de Tinder.

Simplemente conectándose a la misma red wifi, los espías de Tinder pueden acceder al flujo de fotos de un usuario de Tinder. Esto es posible porque Tinder no usa el cifrado HTTPS al enviar fotos (contenidas en información "paquetes") a la aplicación. Usando un programa llamado "rastreador de paquetes", los piratas informáticos pueden descargar cualquier paquete enviado en la misma red wifi, y si no está encriptado, pueden examinar el contenido.

Debido a que estas imágenes ya están técnicamente disponibles para ser vistas al público, los fisgones no recopilan ninguna información privada; aún así, es claramente espeluznante lo que pueden ver en términos de tu interacción con ellos.

Aunque Tinder utiliza el cifrado HTTPS para acciones como deslizar, los investigadores de Checkmarx también encontraron una manera de evitarlo. Cuando desliza la aplicación, su teléfono envía información a su red wifi que corresponde con esa acción, nuevamente en un paquete. Debido a que los swipes están encriptados, alguien que examine esa información no debería poder entender lo que significa. Pero los swipes de Tinder solo vienen en tres variedades: swipe izquierdo, swipe derecho y super. La forma en que se configura el cifrado, cada vez que se desliza hacia la izquierda, el paquete tendrá el mismo tamaño. Debido a que cada deslizamiento está asociado con un tamaño de paquete distinto que no cambia, un observador puede ver efectivamente lo que está haciendo al examinar el tamaño del paquete, en lugar de la información dentro del paquete. Con las herramientas adecuadas, es como si alguien estuviera mirando la pantalla.

Lo que es realmente alarmante es que los piratas informáticos pueden insertar sus propias imágenes en el flujo de fotos de un usuario interceptando el tráfico no cifrado, de acuerdo con Checkmarx.

Es fácil imaginar las posibles consecuencias. Las fotos no solicitadas de la polla serían la punta del iceberg; Los anuncios, las amenazas y los memes de Tide Pod podrían infiltrarse en su aplicación.

Además de ser francamente embarazoso, Checkmarx dice que la vulnerabilidad podría utilizarse para chantajear o exponer los hábitos de los usuarios de Tinder. Checkmarx dice que notificaron a Tinder sobre la vulnerabilidad en noviembre, pero aún tienen que corregirla.

En una declaración a Inverso, un portavoz de Tinder dijo: “También estamos trabajando para cifrar imágenes en nuestra experiencia de aplicación. Sin embargo, no damos más detalles sobre las herramientas de seguridad específicas que utilizamos, o las mejoras que podemos implementar para evitar que se vuelquen falsos serían piratas informáticos ".

Hasta que Tinder encuentre una solución, la forma más fácil de defenderse contra los espectadores digitales es simple: no se deslice en público.