Aplicaciones de citas como Badoo, Bumble, Grindr, Hinge o Hily permitieron a usuarios maliciosos y acosadores conocer la ubicación de sus víctimas potenciales con una precisión de hasta dos metros debido a un desajuste en el funcionamiento de sus interfaces de programación de aplicaciones (APIs).
Investigadores de la Universidad KU Leuven de Bélgica analizaron hasta 15 aplicaciones populares de este tipo -con al menos 10 millones de descargas en total– y descubrieron que seis de ellas cometían el mismo error, según un nuevo artículo académico.
En el informe, se evaluaron los datos personales y confidenciales que se comparten con otros usuarios en el uso de estas ‘apps’, incluyendo filtraciones inadvertidas de la API que permiten la recuperación de información no visible en la interfaz de usuario.
Este intercambio inadvertido se refiere a la información que no aparece en la interfaz de usuario y que un actor malicioso puede recuperar, lo que “entra en conflicto directo con la percepción del usuario de lo que está compartiendo”.
La mayoría de estos servicios se basan en la ubicación, usando un formato denominado LBD. Esto exige que los usuarios tengan activada la localización del dispositivo para mostrarles posibles coincidencias dentro de una distancia máxima configurada.
Una de las principales conclusiones del estudio está relacionada con los servicios de geolocalización de estas aplicaciones. El análisis se realizó en tres fases: verificación de la facilidad con la que un malicioso puede crear una cuenta para recopilar datos, medición de datos personales compartidos por las aplicaciones, y examen de políticas de privacidad.
Para evaluar si estas ‘apps’ permiten extraer información sobre la ubicación exacta de un usuario sin su conocimiento, los investigadores usaron la técnica de trilateración, que calcula la ubicación basándose en señales de satélites.
Los académicos belgas encontraron que Hinge, Happn, Bumble, Grindr, Badoo y Hily expusieron información sobre la ubicación de sus usuarios debido a que sus API filtran datos ocultos sin el conocimiento de los usuarios.
Esto permitió que acosadores y actores maliciosos pudieran conocer la ubicación casi exacta de las víctimas, creando amenazas físicas a la seguridad personal. Además, las políticas de privacidad de las aplicaciones no informan adecuadamente sobre estos riesgos.
La vicepresidenta de Comunicación Global de Bumble, Gabrielle Ferree, indicó que la firma “se enteró de estos hallazgos a principios de 2023 y resolvió rápidamente los problemas descritos”.
El director de Tecnología y cofundador de Hily, Dmytro Kononov, explicó que la compañía recibió un informe sobre estas fugas en mayo de 2023 y comenzó una investigación, desarrollando nuevos algoritmos para mitigar el ataque.
Desde Happn señalaron que su aplicación tiene una capa adicional de protección que no se consideró en el análisis de los investigadores, haciendo que la técnica de trilateración sea ineficaz.
En cuanto a Grindr, se descubrió que permitía localizar a una persona a unos 111 metros de sus coordenadas exactas. Aunque menos precisa, esta característica aún representa un riesgo potencial.
Además de la ubicación, la Fundación Mozilla encontró que muchas de estas aplicaciones también comparten o venden la información personal de sus usuarios. De las 25 aplicaciones de citas analizadas, solo Lex, eHarmony y Happn obtuvieron un visto bueno en protección de datos y privacidad. El resto usa la información de los perfiles con fines publicitarios, y algunas requieren compartir fotos, vídeos y otros contenidos para ofrecer una experiencia personalizada.
