Dos enginyers catalans descobreixen un error que permetia localitzar els usuaris de Tinder

"Oriol, Tinder m'est¨¤ donant la teva localitzaci¨® exacta: s¨¦ que ets al menjador de casa teva". L'enginyer inform¨¤tic Marc?Pratllus¨¤ no podia amagar la sorpresa quan va descobrir que aquesta aplicaci¨® li estava donant les coordenades exactes d'on es trobava Oriol Mart¨ªnez, tamb¨¦ enginyer inform¨¤tic especialitzat en seguretat. Pratllus¨¤, expert en programaci¨®, no ¨¦s hacker i?ni tan sols va necessitar entrar als servidors de Tinder per aconseguir aquesta informaci¨®: va ser molt m¨¦s senzill. Un error en el disseny de l'aplicaci¨® permetia ¨Csi es tenen uns m¨ªnims coneixements sobre inform¨¤tica¨C con¨¨ixer la latitud i longitud on es trobaven cadascuna de les persones amb les quals havies connectat a trav¨¦s de l'aplicaci¨®.

Tinder va ignorar l¡¯error durant tres mesos i ho va arreglar sense avisar aquest dimarts

Aquesta aplicaci¨® per lligar ofereix als usuaris diverses fotografies de persones que es troben a una dist¨¤ncia determinada ¡ªque l'usuari pot establir¡ª; quan totes dues persones cliquen m'agrada?a les seves respectives fotos, es produeix un match (emparellament). I quan aix¨° passava, cadascuna d'aquestes persones podia ser capa? de veure la localitzaci¨® exacta de l'altra. Aix¨ª, amb els milers, milions de matchs que es produeixen al dia,?fins i tot encara que despr¨¦s bloquegessis l'usuari. Aix¨° passava fins dimarts, quan l'error es va solucionar sense avisos ni canvis aparents en l'aplicaci¨®.?

Un dels factors que m¨¦s preocupava aquests dos enginyers catalans ¨¦s que la localitzaci¨® s'actualitzava cada vegada que l'usuari obria l'aplicaci¨® en un lloc diferent. "T'havies d'haver mogut dos quil¨°metres respecte a la localitzaci¨® anterior perqu¨¨ aparegu¨¦s la nova", explica Mart¨ªnez. Quan es van adonar que les coordenades que apareixien al sistema variaven amb el pas de les hores, van decidir fer una prova. Mart¨ªnez va estar durant un dia movent-se per Barcelona i els voltants. Va obrir l'aplicaci¨® sis vegades, en sis llocs diferents.?Pratllus¨¤ era davant de l'ordinador. No li calia sortir de casa. "El podia tenir controlat, sabia que a les 12.01 estava sortint de Mollet del Vall¨¨s i que a les 12.21 estava entrant a Granollers".?

Tinder ha rebutjat fer comentaris sobre aquest error de disseny. "La privadesa i la seguretat dels nostres usuaris s¨®n la nostra prioritat. No comentem cap vulnerabilitat espec¨ªfica que puguem descobrir per protegir-los", ha assenyalat l'empresa a EL PA?S. La resposta de l'empresa no difereix gaire de la que va donar als enginyers quan la van informar del problema fa tres mesos. "Va ser una resposta autom¨¤tica:?Thanks for your feedback.?Gaireb¨¦ tres mesos despr¨¦s no havien fet cap canvi, fins que ho hem publicat i vosaltres us hi heu posat en contacte", expliquen.

Mart¨ªnez i?Pratllus¨¤ van descobrir l'error gaireb¨¦ per casualitat. En Marc estava preparant al maig una aplicaci¨® per buscar vols i s'estava fixant en grans apps per veure com estaven dissenyades. "Ja hav¨ªem revisat Facebook, Spotify, Wallapop... i ho vam provar tamb¨¦ amb Tinder", assenyala. Estudiant el disseny es va adonar que estava enviant informaci¨® no necess¨¤ria per fer-la funcionar. "?s cert que ¨¦s una aplicaci¨® que necessita saber la teva localitzaci¨® per poder ensenyar-te nous usuaris, per¨° l'hauria de donar en dist¨¤ncia, no en coordenades", descriu?Pratllus¨¤.?

Per poder llegir aquesta informaci¨®, els dos enginyers nom¨¦s van haver d'instal¡¤lar un proxy entre els servidors de Tinder i el m¨°bil. Aquest element, que est¨¤ situat al mig, pot llegir la informaci¨® que l'aplicaci¨® envia al terminal de l'usuari. "Saber col¡¤locar un proxy ¨¦s senzill, ho podria fer alg¨² que encara no hagu¨¦s ni acabat l'enginyeria. N'hi ha prou amb tenir alguns coneixements sobre el funcionament de les aplicacions amb els seus servidors", afegeix Mart¨ªnez.?

No sabem quant de temps ha estat aix¨ª, podem confirmar tres mesos, per¨° sospitem que molt m¨¦s temps

Quan van col¡¤locar el?proxy?i van veure que hi havia alguna cosa que no quadrava, van decidir crear-se?un parell de perfils falsos a Tinder perqu¨¨ altres usuaris poguessin fer?match i comprovar si el que apareixia al seu sistema funcionava amb qualsevol tipus d'usuari. I va ser aix¨ª. Si des de l'aplicaci¨® al m¨°bil tenien un match amb algun usuari, podien analitzar la informaci¨® i veure exactament la localitzaci¨® d'aquesta persona. "Ens semblava una cosa molt greu. No sabem quant de temps ha estat aix¨ª, podem confirmar que almenys tres mesos, per¨° sospitem que molt m¨¦s temps".?