Los investigadores presionan las aplicaciones de citas para que se deslicen hacia la izquierda en el seguimiento agresivo de la ubicación
LAS VEGAS – Una gran ventaja de conectarse a través de una aplicación de citas es que si alguien claramente no tiene razón, puede simplemente deslizarse hacia la izquierda y nunca encontrarse con esa persona. Pero muchas aplicaciones te permiten ver la proximidad de posibles coincidencias, revelando así tu ubicación hasta cierto punto. La falta de seguridad en estas aplicaciones puede revelar mucho más, exponiéndolo potencialmente a acoso y abuso.
Karel Dhondt y Victor Le Pochat, investigadores de la universidad belga KU Leuven, analizaron 15 aplicaciones en este campo y se centraron en las formas en que permiten amenazas a la seguridad y privacidad de los usuarios. En la conferencia Black Hat aquí, presentaron sus hallazgos, junto con recomendaciones para remediar estos peligros.
Cambiar la privacidad por la combinación correcta
«Las aplicaciones de citas y la seguridad no han sido la mejor combinación hasta ahora», dijo Dhondt. “Condujeron a acoso, agresiones, estafadores e incluso acoso a minorías”.
«Las citas basadas en la ubicación provocan un comportamiento de privacidad peculiar», añadió. “Los usuarios comparten voluntariamente datos personales con personas que no conocen. Existe una tensión entre compartir suficientes datos y seguir manteniendo la propia privacidad”.
(Crédito: PCMag)
De las 15 aplicaciones que examinaron Dhondt y le Pochat, consideraron tres niveles de exposición de datos. Naturalmente, los datos que usted proporciona se comparten intencionalmente con otros usuarios. Un segundo nivel de exposición es la fuga de tráfico o datos que se extraen fácilmente de las comunicaciones API. Finalmente, analizaron las posibilidades de exfiltración activa.
Las fugas de API han demostrado ser las más comunes. «Las 15 aplicaciones filtran datos de API», dijo Dhondt. “Encontramos 99 fugas de API en total. Esto pone de relieve la necesidad de una mayor seguridad”.
Dhondt señaló que algunas de las aplicaciones filtraron la ubicación exacta de otros usuarios en la comunicación de datos API. Pero no es necesario piratear el tráfico API para localizar un objetivo.
La mayoría de las aplicaciones te dicen qué tan lejos está una posible coincidencia determinada. No proporcionan la ubicación real, pero un adversario puede localizarte utilizando una técnica llamada trilateración. En realidad es bastante simple. El adversario falsifica una ubicación y comprueba la distancia hasta el objetivo. Hacer esto dos veces más produce un total de tres pares de ubicación y distancia. El adversario dibuja un círculo alrededor de cada ubicación falsificada con un radio correspondiente a la proximidad especificada. Donde se cruzan los tres círculos… ¡ahí está!
(Crédito: PCMag)
Algunas aplicaciones redondean la información de distancia, lo que significa que esta técnica solo puede tener una precisión de 100 metros aproximadamente. Pero Dhondt demostró que al mover la ubicación falsificada hasta que la distancia redondeada cambie de valor, un adversario puede aumentar la precisión. Una técnica similar funciona con informes de “oráculo de proximidad” que sólo le indican si el objetivo se encuentra dentro de una distancia determinada.
Exponer al oponente
Le Pochat tomó la iniciativa para detallar los obstáculos que podría enfrentar un acosador. Para ver información sobre otros usuarios, es necesario tener una cuenta. La obtención de esta cuenta requiere exponer, en mayor o menor medida, tus propios datos. Algunas aplicaciones incluso solicitan una foto verificada tuya en una pose específica o sosteniendo una palabra clave específica, para que no puedas usar una foto falsa.
«La mayoría requiere su correo electrónico, que es fácil de anonimizar», dijo le Pochat. «La mitad requiere un número de teléfono válido, lo cual es una barrera mayor, especialmente en países que requieren que registres tu identidad con tu tarjeta SIM». La mitad de las aplicaciones probadas también decir Exigen datos de perfil reales pero nunca los verifican. Señaló que Grindr permite un perfil vacío y Hinge te permite ocultar tu perfil. MeetMe y Tagged no solicitan nada más que una dirección de correo electrónico.
Recomendado por nuestros editores
Mejorar la seguridad de las reuniones
«Se espera compartir datos sobre aplicaciones de citas», dijo Dhondt. “La gente no lo encuentra preocupante. Consideran que esto es beneficioso. Quieres ver datos sobre otros usuarios para seleccionar una buena coincidencia”. Señaló que ciertos grupos corren un mayor riesgo si se filtran sus datos. Las mujeres son más vulnerables al acoso o al acoso. Los miembros de la comunidad LGBTQ pueden quedar expuestos o incluso enfrentarse a un proceso judicial.
«Estas aplicaciones deben dar a los usuarios control, elección y capacidad de acción», afirmó Dhondt. Deben dejar de presionar a los usuarios para que compartan más y más datos. De hecho, deben abstenerse de compartir para que compartir se convierta en una decisión consciente. Sólo deberían mostrar perfiles a otros usuarios verificados”.
Las fugas de datos API son el mayor problema y es un problema bien conocido, dijo Dhondt. Los creadores de aplicaciones deben aplicar un control de acceso adecuado y evitar enviar datos innecesarios en las respuestas de la API.
Señaló que Tinder ahora redondea los informes de ubicación dentro de un kilómetro. Omite muchos de los detalles confidenciales retenidos (y filtrados) por otros. «Si no tienes los datos, no puedes filtrarlos», dijo Dhondt.
Buenas noticias para los amantes.
El grupo reveló sus hallazgos a 15 empresas de aplicaciones y 12 de ellas acusaron recibo. De ellos, nueve participaron en conversaciones con el equipo. Y todas las filtraciones de datos han sido solucionadas. Aún te pueden romper el corazón con una aplicación de citas, pero las posibilidades de ser acosado o abusado han disminuido, gracias a estos investigadores.
¿Te gustó lo que estás leyendo?
Matricularse en Vigilancia de seguridad boletín informativo con nuestras principales historias de privacidad y seguridad enviado directamente a su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. La suscripción a un boletín indica su consentimiento a nuestro Condiciones de uso y política de privacidad. Puede darse de baja de los boletines en cualquier momento.