Investigadores de
Kaspersky Labs publican un extenso e interesante estudio sobre las medidas de
seguridad presentes en las aplicaciones de citas online.
El estudio abarca un
total de 9 plataformas, incluidas las populares Tinder y Badoo, sobre las que
se realiza un análisis en diferentes aspectos de la seguridad de las que la
mayoría no salen del todo bien paradas.
Una de las
principales preocupaciones es que los datos proporcionados por la aplicación
permitan a acosadores ir más allá de esta y les permita encontrar a otros
miembros de la plataforma en otras redes sociales o incluso en el mundo real.
Por ejemplo Tinder y Bumble permiten publicar a los usuarios datos sobre
trabajo y estudios, lo que permitiría estrechar el cerco sobre ellos a la hora
de localizarlos. Happn, además, guarda un campo 'fb_id' que en ciertos
escenarios muestra directamente el identificador en Facebook.
Un problema aun más
serio es el relacionado con las capacidades de localización. Dos tercios de las
aplicaciones permiten fácilmente localizar a otros usuarios mostrando la
distancia entre el atacante y ellos. Eso sí, cada cual con su propia exactitud.
En cuanto a la
seguridad de las comunicaciones, la mayoría de las aplicaciones utilizan, en
algún punto, cifrado TLS. Y decimos "en algún punto" porque en
ciertas transacciones de datos no es usado. Por ejemplo, Tinder, Paktor, Bumble
(Android) y Badoo (iOS) realizan peticiones con fotografías sin cifrar y otra
información como localización y datos personales. La aplicación Mamba, además
sube datos específicos del dispositivo como su fabricante y modelo. Tanto en
esta como en Zoosk, un atacante que esté capturando e inyectando tráfico podría
llegar a administrar la cuenta.
Y aun usando HTTPS en
el resto de comunicaciones el usuario sigue estando en riesgo, ya que la
mayoría de las aplicaciones no comprueban la validez de los certificados.
Excepto Badoo, Bumble y Zoosk en su versión Android, las aplicaciones son
vulnerables a ataques "Man in the Middle" mediante el uso de
certificados no verificados, llegando a interceptar en algunos casos tokens de
autenticación y contraseñas.
Como punto final, en
un escenario que afecta especialmente a los usuarios de Android, los datos
almacenados en el teléfono por la mayoría de las aplicaciones son susceptibles
al acceso por el usuario root. Esto significa que algunas aplicaciones capaces
de obtener estos privilegios en el sistema (como por ejemplo algunos troyanos)
pueden obtener credenciales de acceso y el listado de los mensajes enviados,
entre otra información.
En conclusión, parece
que es WeChat la que sale mejor parada, aunque desgraciadamente no es una
aplicación de citas como tal. De estas, parece que Badoo y Bumble, en sus
versiones para iOS, son las que mayor nivel de seguridad ofrecen.
Más información:
- Dangerous liaisons https://securelist.com/dangerous-liaisons/82803/
