Estamos acostumbrados a confiar nuestros mayores secretos a las aplicaciones de citas. ВїCon cuГЎnto cuidado tratan nuestra informaciГіn?

Estamos acostumbrados a confiar nuestros mayores secretos a las aplicaciones de citas. ВїCon cuГЎnto cuidado tratan nuestra informaciГіn?

Utilizar la uso de citas para investigar pareja, ya sea de una trato duradera o un lío de una noche, serí­a algo habitual actualmente en aniversario. Para dar con el compañero ideal, las usuarios de las aplicaciones se encuentran dispuestos a descubrir su apelativo, ocupación, punto de trabajo, adónde les encanta ir… Las apps sobre citas deben vía a muchisima noticia sensible, en ocasiones hasta fotos íntimas, aunque ¿con cuánto cuidado manejan esta información? Kaspersky Lab lo ha verificado.

Nuestros expertos han estudiado las aplicaciones de citas mГЎs populares (Tinder, Bumble, OkCupid, Badoo, Mamba, Zoosk, Happn, WeChat, Paktor) asГ­В­ como han identificado las principales amenazas de los usuarios. Ahora hemos informado a los desarrolladores acerca de todas las vulnerabilidades detectadas y no ha transpirado, ahora que se ha publicado este crГіnica, bien se han solucionado algunas desplazГЎndolo hacia el pelo otras lo estarГЎn veloz. No obstante, nunca todo el mundo los desarrolladores se han comprometido a parchear todo el mundo las fallos.

1ВЄ amenaza. ВїQuiГ©n eres?

Nuestros investigadores han descubierto que cuatro de cada es libre de meet24 nueve aplicaciones investigadas Posibilitan a los delincuentes potenciales conocer quiГ©n se esconde detrГЎs de el nombre sobre cliente Conforme las datos que este proporcione. Como podrГ­В­a ser, Tinder, Happn y no ha transpirado Bumble Posibilitan que cualquiera vea el lugar de empleo o sobre estudios de los usuarios. A travГ©s de esta noticia, es concebible encontrar sus cuentas en redes sociales asГ­В­ como examinar las nombres reales. Happn, en particular, usa las cuentas de Facebook para el canje de datos con el servidor. Con un trabajo insignificante, cualquiera puede examinar los nombres desplazГЎndolo hacia el pelo apellidos de las usuarios sobre Happn asГ­В­ como otros documentaciГіn sobre sus perfiles sobre Twitter.

DesplazГЎndolo hacia el pelo si alguien intercepta el trГЎfico sobre un dispositivo personal que tenga instalado Paktor, le sorprenderГЎ saber que puede ver la directiva sobre e-mail electrГіnico sobre otros usuarios de la aplicaciГіn.

Al parecer, serГ­В­a concebible identificar a los usuarios de Happn desplazГЎndolo hacia el pelo Paktor en diferentes redes sociales en todo momento, con un 60% sobre Г©xito en Tinder desplazГЎndolo hacia el pelo un cincuenta% en Bumble.

2ВЄ amenaza. ВїDГіnde estГЎs?

Si alguien quiere reconocer tu localización, seis sobre cada nueve aplicaciones permiten averiguarlo. Separado OkCupid, Bumble y Badoo guardan la ubicación de las usuarios escaso válvula. La totalidad de las otras aplicaciones indican la trayecto entre la cristiano que te interesa y no ha transpirado tú. Al registrar la trayecto entre las 2, serí­a simple establecer la localización exacta sobre la “presa”.

Happn no solo muestra cuГЎntos metros te separan sobre otros usuarios, sino igualmente el nГєmero sobre pasos que habГ©is cruzado, facilitando todavГ­a mГЎs el seguimiento sobre un consumidor. Esa serГ­В­a, en realidad, la misiГіn principal de la empleo, desplazГЎndolo hacia el pelo no nos lo podГ­amos pensar.

3ВЄ amenaza. Transferencia desprotegida sobre datos

Demasiadas aplicaciones transfieren informaciГіn al servidor mediante un canal cifrado con SSL, No obstante hay excepciones.

Igual que han averiguado nuestros investigadores, una de estas aplicaciones más inseguras en este interés serí­a Mamba. El módulo sobre disección utilizado en la lectura Android no cifra los datos sobre el dispositivo (prototipo, nº sobre gama, etc) así­ como la traducción de iOS se conecta al servidor mediante HTTP así­ como transfiere toda la referencia carente cifrarla (es decir, desprotegida), mensajes incluidos. Dicha documentación no separado serí­a visible, sino Asimismo modificable. Como podrí­a ser, serí­a posible que un tercero cambie un “¿Qué semejante?” por una petición de dinero.

Mamba no es la Гєnica aplicaciГіn que te posibilita manejar la cuenta de alguien a causa de una conexiГіn insegura, Zoosk igualmente. No obstante, nuestros investigadores pudieron interceptar la noticia de Zoosk solo al subir fotos o vГ­deo nuevos (y, despuГ©s de la notificaciГіn, los desarrolladores lo solucionaron sobre inmediato).

Tinder, Paktor asГ­В­ como Bumble Con El Fin De Android, tambiГ©n sobre Badoo Con El Fin De iOS tambiГ©n suben fotos a travГ©s de HTTP, lo que posibilita a un atacante investigar quГ© perfiles visitan sus vГ­ctimas.

Cuando uses la interpretaciГіn de Android de Paktor, Badoo y Zoosk, alguna referencia, igual que la del GPS y la del mecanismo, puede culminar en manos equivocadas.

4ВЄ amenaza. Ataque man-in-the-middle

Casi todos los servidores sobre aplicaciones de citas en internet usan el ritual HTTPS, lo que significa que, comprobando el certificado de autenticidad, uno puede protegerse contra los ataques man-in-the-middle, pues el trГЎfico sobre la vГ­ctima ocurre por un servidor falso a lo largo de su itinerario al servidor considerado. Las investigadores instalaron un certificado falso para averiguar En Caso De Que las aplicaciones comprobaban su autenticidad; en el caso sobre que nunca, estarГ­an facilitando el espionaje de el trГЎfico sobre otras gente.

ResultГі que cinco de estas nueve aplicaciones son vulnerables a los ataques man-in-the-middle porque no verifican la autenticidad sobre los certificados. AdemГЎs, casi todas las aplicaciones consiguen autorizaciГіn mediante Twitter, debido a que la carencia de validaciГіn del certificado puede conducir al robo sobre la clave sobre autorizaciГіn temporal, en otras palabras, los tokens, las cuales tienen la duraciГіn de dentro de 2 desplazГЎndolo hacia el pelo 3 semanas, tiempo a lo largo de el que las delincuentes deben acceso a algunas de estas pГ­ВЎginas sociales sobre la vГ­ctima, Igualmente de el comunicaciГіn total al lateral sobre la empleo de citas.

5ВЄ amenaza. Permisos de superusuario

A pesar sobre la exactitud de la referencia que almacena la uso en el mecanismo, a esta se puede entrar con derechos sobre superusuario. Este aspecto Гєnico afecta a dispositivos Android, porque es inusual que un malware pueda adquirir vГ­a root en iOS.

El efecto del examen es escaso alentador: ocho de estas nueve aplicaciones de Android se encuentran listas de permitir demasiada documentaciГіn a las ciberdelincuentes que dispongan de los derechos sobre superusuario. Sobre por sГ­, los investigadores podГ­an conseguir las tokens sobre autorizaciГіn Con El Fin De las redes sociales de casi la totalidad de las aplicaciones en cuestiГіn. Las credenciales estaban cifradas, aunque la clave de descifrado era sencillo de extraer sobre la misma activaciГіn.

Tinder, Bumble, OkCupid, Badoo, Happn y Paktor almacenan el informe sobre mensajes asГ­В­ como las fotos sobre las usuarios unido con las tokens, por lo que si se tiene derechos sobre superusuario, se puede accesar con facilidad a documentaciГіn confidencial.

El anГЎlisis mostrГі que muchas aplicaciones sobre citas nunca tratan los datos de sus usuarios con la razonable cautela. Esta no serГ­В­a razГіn para nunca usar dichos servicios, tan Гєnicamente debes entender las dificultades desplazГЎndolo hacia el pelo, cuando sea concebible, minimizar los riesgos.