Los ingenieros informáticos de origen español, Marc Pratllusá y Oriol Martínez, especializados en seguridad informática, han dado con un fallo bastante grave de la aplicación de citas Tinder. Pratllusá y Martínez, sin ser hackers informáticos ni nada por el estilo, se percataron de que un error en el diseño en la aplicación podría permitir a cualquiera que tuviera unos conocimientos mínimos sobre informática, reconocer a qué latitud y longitud se encuentran las personas con las que has hecho «match» en la app. Los ingenieros descubrieron el error por casualidad, mientras inspeccionaban otras aplicaciones como Wallapop, Facebook o Spotify por motivos profesionales, y fue cuando descubrieron que la app transmitía la ubicación en coordenadas en lugar de en distancia como debería ser.
El funcionamiento de esta aplicación es muy sencillo, la persona que la utiliza, se desliza entre las fotos de los usuarios que coincidan con los datos que ha incorporado y cuando alguien le gusta, lo marca, si la persona a la que ha marcado le corresponde se producirá un match. Bajo esta premisa de uso, los ingenieros se encontraron con que podían identificar la ubicación exacta en la que se encontraban las personas con las que habían coincidido. El error era persistente incluso después de bloquear al usuario. Y decimos era, en pasado, porque los ingenieros de Tinder se han encargado de arreglarlo, sin notificar a los usuarios del fallo, haciendo como si nada hubiera pasado.
Pero lo más preocupante es, que este fallo en la aplicación, no solo informaba de la ubicación en ese momento, sino que también indicaba cada vez que nos desplazábamos, lo que permitía que los usuarios estuvieran controlados por otros usuarios como si un sistema de geolocalización se tratase.
Tinder no ha informado de nada, tan solo comentó a EL PAíS, de que «La privacidad y la seguridad de nuestros usuarios es nuestra máxima prioridad. No hablamos de vulnerabilidades específicas que podríamos encontrar con el fin de protegerlos «. Pero, al parecer, desde que los ingenieros reportaron el fallo a los desarrolladores de la aplicación han tardado tres meses en resolverlo.
Para acceder a esta información los ingenieros catalanes tan solo tuvieron que instalar un servidor proxy entre su teléfono y el servidor de Tinder. Con este elemento se puede leer la información que se envía al teléfono del usuario.
Una vez instalado el proxy y observar los fallos, decidieron crear perfiles falsos para realizar diferentes pruebas con el fin de verificar la existencia del error. Y efectivamente el error existía y pudieron verificar la ubicación exacta de diferentes personas como se puede observar en la foto anterior. Aún no se sabe cuánto tiempo esto se ha estado produciendo ni cuánta gente lo ha podido utilizar de manera maliciosa, aunque sí podemos confirmar que desde que Pratllusá y Martínez lo descubrieron y hasta que Tinder lo ha solventado han pasado tres meses.
Fuente: EL PAíS
