sábado, 28 de octubre de 2017

Las aplicaciones de citas, bajo la lupa de la seguridad

Investigadores de Kaspersky Labs publican un extenso e interesante estudio sobre las medidas de seguridad presentes en las aplicaciones de citas online. 

El estudio abarca un total de 9 plataformas, incluidas las populares Tinder y Badoo, sobre las que se realiza un análisis en diferentes aspectos de la seguridad de las que la mayoría no salen del todo bien paradas.

Tabla resumen de los problemas de seguridad en las distintas aplicaciones de citas.
Imagen tomada de https://securelist.com/dangerous-liaisons/82803/

Una de las principales preocupaciones es que los datos proporcionados por la aplicación permitan a acosadores ir más allá de esta y les permita encontrar a otros miembros de la plataforma en otras redes sociales o incluso en el mundo real. Por ejemplo Tinder y Bumble permiten publicar a los usuarios datos sobre trabajo y estudios, lo que permitiría estrechar el cerco sobre ellos a la hora de localizarlos. Happn, además, guarda un campo 'fb_id' que en ciertos escenarios muestra directamente el identificador en Facebook.


Un problema aun más serio es el relacionado con las capacidades de localización. Dos tercios de las aplicaciones permiten fácilmente localizar a otros usuarios mostrando la distancia entre el atacante y ellos. Eso sí, cada cual con su propia exactitud.


Un perfil de la plataforma mostrando la distancia hasta el usuario.
Imagen tomada de https://securelist.com/dangerous-liaisons/82803/

En cuanto a la seguridad de las comunicaciones, la mayoría de las aplicaciones utilizan, en algún punto, cifrado TLS. Y decimos "en algún punto" porque en ciertas transacciones de datos no es usado. Por ejemplo, Tinder, Paktor, Bumble (Android) y Badoo (iOS) realizan peticiones con fotografías sin cifrar y otra información como localización y datos personales. La aplicación Mamba, además sube datos específicos del dispositivo como su fabricante y modelo. Tanto en esta como en Zoosk, un atacante que esté capturando e inyectando tráfico podría llegar a administrar la cuenta.

Y aun usando HTTPS en el resto de comunicaciones el usuario sigue estando en riesgo, ya que la mayoría de las aplicaciones no comprueban la validez de los certificados. Excepto Badoo, Bumble y Zoosk en su versión Android, las aplicaciones son vulnerables a ataques "Man in the Middle" mediante el uso de certificados no verificados, llegando a interceptar en algunos casos tokens de autenticación y contraseñas. 

Como punto final, en un escenario que afecta especialmente a los usuarios de Android, los datos almacenados en el teléfono por la mayoría de las aplicaciones son susceptibles al acceso por el usuario root. Esto significa que algunas aplicaciones capaces de obtener estos privilegios en el sistema (como por ejemplo algunos troyanos) pueden obtener credenciales de acceso y el listado de los mensajes enviados, entre otra información.

En conclusión, parece que es WeChat la que sale mejor parada, aunque desgraciadamente no es una aplicación de citas como tal. De estas, parece que Badoo y Bumble, en sus versiones para iOS, son las que mayor nivel de seguridad ofrecen.

Aunque el listón no está precisamente alto.



Francisco López


Más información:

Dangerous liaisons