Los investigadores afirman que cuatro aplicaciones móviles populares que ofrecen servicios de citas y encuentros representan un riesgo de seguridad latente porque revelan la ubicación precisa de los usuarios.
¿Te imaginas estar buscando a tu media naranja y que en su lugar llegue hasta tu domicilio un psicópata obsesionado contigo? O peor aún, ¿ser víctima de algún crimen de odio por utilizar una app insegura?
Esta semana, Pen Test Partners dijo que las famosas apps (aplicaciones móviles) Grindr, Romeo y Recon han estado filtrando la ubicación precisa de los usuarios y que ha sido posible desarrollar una herramienta capaz de cotejar las coordenadas GPS expuestas.
Además, el equipo de Pen Test Partners dijo que la app 3Fun tenía la «peor seguridad para cualquier aplicación de citas que hayamos visto«. Descubrió que esta app no solo estaba filtrando las ubicaciones de los usuarios, sino que también dejaba en evidencia fechas de nacimiento, preferencias sexuales, imágenes y datos de chat.
Trilateración de datos
En 3Fun, Grindr, Romeo y Recon, el equipo pudo precisar cuál era la ubicación de los usuarios mediante el uso de suplantación de identidad y trilateración por GPS: el uso de algoritmos basados en la longitud, la latitud y la altitud para crear tres puntos mapa de la ubicación de un usuario.
«Al proporcionar ubicaciones falsas (latitud y longitud) es posible recuperar las distancias a estos perfiles desde múltiples puntos, y luego triangular o trilaterar los datos para devolver la ubicación precisa de esa persona«, señala el equipo de Pen Test Partners.
Para explicar mejor el problema, los investigadores realizaron pruebas donde identificaron fácilmente a usuarios que estaban posicionados permanentemente en la Casa Blanca, así como en 10 Downing Street, la residencia y la sede del Primer Ministro del Reino Unido. ¡Cosas por las cuales los paparazzi podrían volverse locos!
Pero se pone peor. Dado que las aplicaciones informan la orientación sexual de los suscriptores (y en el caso de Grinder, toda la audiencia pertenece a la esfera gay y bisexual), la funcionalidad también podría usarse con fines discriminatorios, especialmente en aquellos países que tienen leyes que suprimen la libertad sexual.
Este problema de seguridad abarca a 10 millones de usuarios alrededor del mundo. Esta, por ejemplo, fue una de las imágenes presentadas por los investigadores en el caso de la ciudad de Londres.
Por su lado, en Arabia Saudita, donde todavía la comunidad LGBT+ es repudiada, se puede ver en el mapa la ubicación de las personas con estas preferencias sexuales, lo cual es muy peligroso.
En muchos casos, se encontraron ubicaciones de ocho decimales en latitud / longitud, lo que sugiere que se almacenan datos GPS de alta precisión en los servidores. Los investigadores notificaron la falla a los desarrolladores de las apps.
Romeo respondió dentro de los siete días y dijo que ya están poniendo a disposición una función que permite a los usuarios moverse dentro de una posición aproximada en lugar de utilizar el GPS. Recon dijo que los usuarios pueden solucionar esto moviendo la cuadrícula de su ubicación. Grindr no respondió a la divulgación. 3Fun trabajó con los investigadores y solicitó asesoramiento sobre cómo bloquear la fuga de datos.
Según los investigadores, el riesgo para la privacidad podría limitarse utilizando coordenadas menos precisas y adoptando una serie de medidas técnicas que pueden evitar la recuperación automática de estos datos a través de las API de la aplicación.
leer más