¿Son seguras las aplicaciones de citas?

25 Oct 2017

Utilizar una aplicación de citas para buscar pareja, ya sea para una relación duradera o un lío de una noche, es algo habitual hoy en día. Para encontrar el compañero ideal, los usuarios de las aplicaciones están dispuestos a revelar su nombre, ocupación, lugar de trabajo, adónde les gusta ir… Las apps de citas tienen acceso a mucha información sensible, a veces hasta fotos íntimas,  pero ¿con cuánto cuidado manejan esta información? Kaspersky Lab lo ha comprobado.

Nuestros expertos han estudiado las aplicaciones de citas más populares (Tinder, Bumble, OkCupid, Badoo, Mamba, Zoosk, Happn, WeChat, Paktor) y han identificado las principales amenazas para los usuarios. Ya hemos informado a los desarrolladores sobre todas las vulnerabilidades detectadas y, ahora que se ha publicado este artículo, ya se han solucionado algunas y otras lo estarán pronto. No obstante, no todos los desarrolladores se han comprometido a parchear todos los fallos.

1ª amenaza. ¿Quién eres?

Nuestros investigadores han descubierto que cuatro de cada nueve aplicaciones investigadas permiten a los delincuentes potenciales saber quién se esconde detrás del nombre de usuario según los datos que este proporcione. Por ejemplo, Tinder, Happn y Bumble permiten que cualquiera vea el lugar de trabajo o de estudios de los usuarios. Mediante esta información, es posible encontrar sus cuentas en redes sociales y averiguar sus nombres reales. Happn, en particular, usa las cuentas de Facebook para el intercambio de datos con el servidor. Con un esfuerzo mínimo, cualquiera puede averiguar los nombres y apellidos de los usuarios de Happn y demás información de sus perfiles de Facebook.

Y si alguien intercepta el tráfico de un dispositivo personal que tenga instalado Paktor, le sorprenderá saber que puede ver la dirección de correo electrónico de otros usuarios de la aplicación.

Al parecer, es posible identificar a los usuarios de Happn y Paktor en otras redes sociales en cualquier momento, con un 60% de éxito en Tinder y un 50% en Bumble.

2ª amenaza. ¿Dónde estás?

Si alguien quiere conocer tu ubicación, seis de cada nueve aplicaciones permiten averiguarlo. Solo OkCupid, Bumble y Badoo mantienen la ubicación de sus usuarios bajo llave. Todas las demás aplicaciones indican la distancia entre la persona que te interesa y tú. Al registrar la distancia entre los dos, es fácil determinar la localización exacta de la “presa”.

Happn no solo muestra cuántos metros te separan de otros usuarios, sino también el número de pasos que habéis cruzado, facilitando todavía más el seguimiento de un usuario. Esa es, en realidad, la función principal de la aplicación, y no nos lo podíamos creer.

3ª amenaza. Transferencia desprotegida de datos

Muchas aplicaciones transfieren información al servidor mediante un canal cifrado con SSL, pero hay excepciones.

Como han averiguado nuestros investigadores, una de las aplicaciones más inseguras en este sentido es Mamba. El módulo de análisis empleado en la versión Android no cifra los datos sobre el dispositivo (modelo, número de serie, etc) y la versión de iOS se conecta al servidor mediante HTTP y transfiere toda la información sin cifrarla (es decir, desprotegida), mensajes incluidos. Dicha información no solo es visible, sino también modificable. Por ejemplo, es posible que un tercero cambie un “¿Qué tal?” por una petición de dinero.

Mamba no es la única aplicación que te permite manejar la cuenta de alguien a causa de una conexión insegura, Zoosk también. No obstante, nuestros investigadores pudieron interceptar la información de Zoosk solo al subir fotos o vídeo nuevos (y, tras nuestra notificación, los desarrolladores lo solucionaron de inmediato).

Tinder, Paktor y Bumble para Android, además de Badoo para iOS también suben fotos mediante HTTP, lo que permite a un atacante averiguar qué perfiles visitan sus víctimas.

Cuando uses la versión para Android de Paktor, Badoo y Zoosk, alguna información, como la del GPS y la del dispositivo, puede terminar en manos equivocadas.

4ª amenaza. Ataque man-in-the-middle

Casi todos los servidores de aplicaciones de citas online usan el protocolo HTTPS, lo que significa que, comprobando el certificado de autenticidad, uno puede protegerse contra los ataques man-in-the-middle, pues el tráfico de la víctima pasa por un servidor falso durante su camino al servidor correcto. Los investigadores instalaron un certificado falso para averiguar si las aplicaciones comprobaban su autenticidad; en el caso de que no, estarían facilitando el espionaje del tráfico de otras personas.

Resultó que cinco de las nueve aplicaciones son vulnerables a los ataques man-in-the-middle porque no verifican la autenticidad de los certificados. Además, casi todas las aplicaciones obtienen autorización mediante Facebook, por lo que la falta de validación del certificado puede conducir al robo de la clave de autorización temporal, es decir, los tokens, los cuales tienen una duración de entre dos y tres semanas, tiempo durante el cual los delincuentes tienen acceso a algunas de las redes sociales de la víctima, además del acceso total al perfil de la aplicación de citas.

5ª amenaza. Permisos de superusuario

A pesar de la exactitud de la información que almacena la aplicación en el dispositivo, a esta se puede acceder con derechos de superusuario. Este punto solo afecta a dispositivos Android, ya que es raro que un malware pueda obtener acceso root en iOS.

El resultado del análisis es poco alentador: ocho de las nueve aplicaciones para Android están listas para facilitar demasiada información a los ciberdelincuentes que dispongan de los derechos de superusuario. De por sí, los investigadores podían conseguir los tokens de autorización para las redes sociales de casi todas las aplicaciones en cuestión. Las credenciales estaban cifradas, pero la clave de descifrado era fácil de extraer de la propia activación.

Tinder, Bumble, OkCupid, Badoo, Happn y Paktor almacenan el historial de mensajes y las fotos de los usuarios junto con sus tokens, por lo que si se cuenta con derechos de superusuario, se puede acceder con facilidad a información confidencial.

Conclusión

El estudio mostró que muchas aplicaciones de citas no tratan los datos de sus usuarios con la suficiente cautela. Esta no es razón para no usar dichos servicios, tan solo debes comprender los problemas y, cuando sea posible, minimizar los riesgos.

Qué debes hacer:

  • Usa una VPN.
  • Instala soluciones de seguridad en todos tus dispositivos.
  • Comparte información con extraños solo cuando sea necesario.

Qué no debes hacer

  • No añadas tus redes sociales en el perfil público de una aplicación de citas, ni des tu nombre real, ni tampoco tu lugar de trabajo.
  • No des tu dirección de e-mail, ya sea personal o laboral.
  • No uses webs de citas si estás conectado a redes wifi desprotegidas.