Cómo la aplicación de citas Grindr facilita el seguimiento de 5 millones de hombres homosexuales

4.4 (99%) 21 votes

Un mapa con un pequeño número de lugares visitados por un usuario de Grindr.
Agrandar /. Un mapa con un pequeño número de lugares visitados por un usuario de Grindr.

Synack

Las aplicaciones de citas móviles han revolucionado la búsqueda del amor y el sexo al no solo permitir que las personas encuentren parejas de ideas afines, sino también identificar a quienes están literalmente al lado o incluso en el mismo bar en un momento dado. Esta conveniencia es una espada de doble filo, advierten los investigadores. Para demostrar su punto de vista, utilizaron las debilidades de Grindr, una aplicación de citas con más de cinco millones de usuarios mensuales, para identificar a los usuarios y crear historias detalladas de sus movimientos.

El ataque de prueba de concepto funcionó debido a vulnerabilidades identificadas hace cinco meses por una publicación anónima en Pastebin. Incluso después de que los investigadores de la firma de seguridad Synack confirmaron independientemente la amenaza a la privacidad, los funcionarios de Grindr han permitido que permanezca abierto a los usuarios en todos los países, excepto en un puñado de ellos, donde es ilegal ser gay. Como resultado, las ubicaciones geográficas de los usuarios de Grindr en los Estados Unidos y la mayoría de las otras ubicaciones se pueden rastrear hasta el banco del parque donde están almorzando o en un bar donde están bebiendo, monitoreadas casi continuamente. Presentado el sábado en Shmoocon Conferencia de seguridad en Washington, DC.

Los funcionarios de Grindr declinaron hacer comentarios sobre esta publicación, que va más allá de lo que publicaron en publicaciones aquí y aquí hace más de cuatro meses. Como se mencionó anteriormente, los desarrolladores de Grindr han cambiado la aplicación para deshabilitar el seguimiento de ubicación en Rusia, Egipto, Arabia Saudita, Nigeria, Liberia, Sudán, Zimbabwe y en cualquier otro lugar con leyes contra los homosexuales. Grindr también ha bloqueado la aplicación, por lo que la información de ubicación solo está disponible para las personas que han configurado una cuenta. Los cambios no impidieron que los investigadores de Synack establecieran una cuenta gratuita y rastrearan los movimientos detallados de múltiples usuarios que se ofrecieron como voluntarios para participar en el experimento.

Determinar las ubicaciones exactas de los usuarios.

El ataque de prueba de concepto abusa de una función de ubicación compartida que, según los representantes de Grindr, es una oferta central de la aplicación. Esta característica permite a un usuario ver cuándo hay otros usuarios cerca. La interfaz de programación que proporciona la información puede ser pirateada enviando consultas rápidas de grinder que indican incorrectamente diferentes ubicaciones del usuario solicitante. Al usar tres ubicaciones ficticias separadas, un atacante puede mapear la ubicación exacta del otro usuario usando el proceso matemático llamado trilateración.

El investigador de Synack, Colby Moore, dijo que su compañía alertó a los desarrolladores de Grindr de la amenaza en marzo pasado. Además de deshabilitar el uso compartido de la ubicación en países donde se aplican las leyes homosexuales y proporcionar información de ubicación solo a los usuarios autenticados de Grindr, la vulnerabilidad sigue siendo una amenaza para cualquiera que deje habilitado el uso compartido de la ubicación. Grindr introdujo estos cambios limitados después de que se informara que la policía egipcia estaba usando Grindr para localizar y enjuiciar a las personas homosexuales. Moore dijo que hay varias cosas que los desarrolladores de Grindr podrían hacer para corregir mejor la debilidad.

«Lo mejor es que no permites que se repitan grandes cambios de distancia», dijo a Ars. «Cuando digo que estoy a cinco millas aquí, cinco millas allá en 10 segundos, sabes que algo está mal. Hay muchas Las cosas que puedes hacer que son fáciles para la espalda «. Dijo que Grinder también podría tomar medidas para que los datos de ubicación sean un poco menos detallados. «Simplemente introducen un error de redondeo en muchas de estas cosas. Un usuario especifica sus coordenadas, y en el lado del backend, Grindr puede introducir una pequeña equivocación en la lectura».

La hazaña permitió a Moore crear un dossier detallado sobre usuarios voluntarios al rastrear dónde iban a trabajar por la mañana, en qué gimnasios trabajaban, dónde dormían por la noche y otros lugares que visitaban. Al utilizar estos datos y compararlos con registros públicos y datos en perfiles de Grindr y otros sitios de redes sociales, puede revelar la identidad de estas personas.

«Con el marco que desarrollamos, fue muy fácil para nosotros correlacionar identidades», dijo Moore. «La mayoría de los usuarios en la aplicación comparten muchos, muchos detalles personales adicionales como raza, altura, peso y una foto. Muchos usuarios también están vinculados a cuentas de redes sociales en sus perfiles. El ejemplo concreto sería que podríamos replicar esto participantes arbitrarios varias veces «.

Moore también podría abusar de la función para tomar instantáneas únicas de aproximadamente 15,000 usuarios en la Bahía de San Francisco. Antes de que se desactivara la ubicación compartida en Rusia, los usuarios de Gridr visitaron los Juegos Olímpicos de Sochi.

Synack

Moore dijo que se centró en Grindr porque está dirigido a un grupo que se aborda con frecuencia. Dijo que había observado la misma amenaza que representan las aplicaciones de redes sociales móviles que no son de Grindr.

«No solo hace a Grindr», dijo. «He visto alrededor de cinco aplicaciones de citas y todas ellas son vulnerables a vulnerabilidades similares».

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *