Dos ingenieros espa?oles descubren un error que permit¨ªa localizar a los usuarios de Tinder
El fallo revelaba la ubicaci¨®n exacta de las personas que se daban 'match'. La posici¨®n se actualizaba cuando abr¨ªan la 'app'
"Oriol, Tinder me est¨¢ dando tu localizaci¨®n exacta: s¨¦ que est¨¢s en el comedor de tu casa". El ingeniero inform¨¢tico Marc?Pratllus¨¤ no pod¨ªa ocultar la sorpresa cuando descubri¨® que esta aplicaci¨®n le estaba dando las coordenadas exactas de donde se encontraba Oriol Mart¨ªnez, tambi¨¦n ingeniero inform¨¢tico especializado en seguridad. Pratllus¨¤, experto en programaci¨®n, no es hacker y?ni siquiera necesit¨® entrar a los servidores de Tinder para conseguir esa informaci¨®n: fue m¨¢s sencillo que todo eso. Un error en el dise?o de la aplicaci¨®n permit¨ªa ¡ªsi se tienen unos m¨ªnimos conocimientos sobre inform¨¢tica¡ª conocer la latitud y longitud en la que se encontraban cada una de las personas con las que hab¨ªas conectado a trav¨¦s de la app.
Tinder ignor¨® el fallo durante tres meses y lo arregl¨® sin avisar este martes
Esta aplicaci¨®n para ligar ofrece a los usuarios varias fotograf¨ªas de personas que se encuentran a una distancia determinada ¡ªque el usuario puede establecer¡ª; cuando ambas personas se dan 'me gusta' a sus respectivas fotos, se produce un match (emparejamiento). Y cuando esto ocurr¨ªa, cada una de estas personas pod¨ªa ser capaz de ver la localizaci¨®n exacta del otro. As¨ª, con los miles, millones de matches que se producen al d¨ªa. As¨ª, incluso aunque luego bloquearas al usuario. As¨ª, hasta el martes cuando el error se solucion¨® sin avisos ni cambios aparentes en la aplicaci¨®n.?
Uno de los factores que m¨¢s preocupaba a estos dos ingenieros espa?oles es que la localizaci¨®n se actualizaba cada vez que el usuario abr¨ªa la aplicaci¨®n en un lugar diferente. "Ten¨ªas que haberte movido dos kil¨®metros con respecto a la anterior localizaci¨®n para que apareciera la nueva", explica Mart¨ªnez. Cuando se dieron cuenta de que las coordenadas que aparec¨ªan en su sistema variaban con el paso de las horas, decidieron hacer una prueba. Mart¨ªnez estuvo durante un d¨ªa movi¨¦ndose por Barcelona y alrededores. Abri¨® la aplicaci¨®n seis veces, en seis lugares diferentes.?Pratllus¨¤ estaba enfrente del ordenador. No le hac¨ªa falta salir de casa. "Le pod¨ªa tener controlado, sab¨ªa que a las 12:01 estaba saliendo de Mollet del Vall¨¨s y que a las 12:21 estaba entrando en Granollers".?
Tinder ha rechazado hacer comentarios sobre el fallo de dise?o. "La privacidad y seguridad de nuestros usuarios es nuestra prioridad. No comentamos ninguna vulnerabilidad espec¨ªfica que podamos descubrir para protegerlos", ha se?alado la empresa a EL PA?S. La respuesta de la empresa no difiere mucho de la que le dio a los ingenieros cuando le informaron del problema hace tres meses. "Fue una respuesta autom¨¢tica Thanks for your feedback.?Casi tres meses despu¨¦s no hab¨ªan realizado ning¨²n cambio, hasta que lo hemos publicado y vosotros os hab¨¦is puesto en contacto con ellos", explican.
Mart¨ªnez y?Pratllus¨¤ descubrieron el error casi por casualidad. Marc estaba preparando en mayo una aplicaci¨®n para buscar vuelos y estaba fij¨¢ndose en grandes apps para ver c¨®mo estaban dise?adas. "Hab¨ªamos revisado ya Facebook, Spotify, Wallapop... y probamos tambi¨¦n con Tinder", se?ala. Estudiando el dise?o se dio cuenta de que estaba enviando informaci¨®n no necesaria para su funcionamiento. "Es cierto que es una aplicaci¨®n que necesita saber tu localizaci¨®n para poder ense?arte nuevos usuarios, pero la deber¨ªa dar en distancia, no en coordenadas", describe?Pratllus¨¤.?
Para poder leer esta informaci¨®n, los dos ingenieros solo tuvieron que instalar un proxy entre los servidores de Tinder y el m¨®vil. Este elemento, que est¨¢ situado en el medio, puede leer la informaci¨®n que la aplicaci¨®n env¨ªa al terminal del usuario. "Saber colocar un proxy es algo sencillo, lo podr¨ªa hacer alguien que todav¨ªa no hubiera ni terminado la ingenier¨ªa. Basta con tener algunos conocimientos sobre el funcionamiento de las aplicaciones con sus servidores", a?ade Mart¨ªnez.?
No sabemos cu¨¢nto tiempo ha estado as¨ª, podemos confirmar tres meses, pero sospechamos que mucho m¨¢s tiempo
Cuando colocaron el?proxy?y vieron que hab¨ªa algo que no cuadraba, decidieron crearse?un par de perfiles falsos en Tinder para que otros usuarios pudieran darle match y comprobar si lo que aparec¨ªa en su sistema funcionaba con cualquier tipo de usuario. Y as¨ª fue. Si desde la aplicaci¨®n en su m¨®vil ten¨ªan un match con alg¨²n usuario, pod¨ªan analizar la informaci¨®n y ver exactamente la localizaci¨®n de esa persona. "Nos parec¨ªa algo muy grave. No sabemos cu¨¢nto tiempo ha estado as¨ª, podemos confirmar tres meses, pero sospechamos que mucho m¨¢s tiempo".?
Tu suscripci¨®n se est¨¢ usando en otro dispositivo
?Quieres a?adir otro usuario a tu suscripci¨®n?
Si contin¨²as leyendo en este dispositivo, no se podr¨¢ leer en el otro.
FlechaTu suscripci¨®n se est¨¢ usando en otro dispositivo y solo puedes acceder a EL PA?S desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripci¨®n a la modalidad Premium, as¨ª podr¨¢s a?adir otro usuario. Cada uno acceder¨¢ con su propia cuenta de email, lo que os permitir¨¢ personalizar vuestra experiencia en EL PA?S.
En el caso de no saber qui¨¦n est¨¢ usando tu cuenta, te recomendamos cambiar tu contrase?a aqu¨ª.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrar¨¢ en tu dispositivo y en el de la otra persona que est¨¢ usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aqu¨ª los t¨¦rminos y condiciones de la suscripci¨®n digital.
Sobre la firma
