Según un último informe de Checkmarx, se han encontrado diversas fallas en Tinder que permiten, bajo ciertas condiciones, descargar las imágenes, y siguiendo ciertos patrones, también saber si el usuario fue para la izquierda, para la derecha, o si encontró una coincidencia.
El informe indica que esto se debe a la falta de HTTPS en la transferencia de imágenes, y a una débil encriptación en lo que si está encriptado, ya que los patrones de encriptación fueron descubiertos fácilmente.
Para ser más exactos, el patrón descubierto es el siguiente: si deslizamos para la izquierda se transmiten 278 bytes, si deslizamos para la derecha se transmiten 374 bytes, y si encontramos una coincidencia se transmiten 581 bytes.
Con esta información y todas las imágenes, a las que se puede acceder fácilmente, se puede recrear con perfección lo que el usuario ve en la pantalla, y también gracias a que la vulnerabilidad permite inyectar información, podemos manipular las imágenes de su pantalla sin problemas, alterando los resultados de la aplicación.
La falla está presente tanto en Android como en iOS, y se dá solamente si el usuario y la persona que accede a esta información están en la misma red.
Como siempre sucede en estos casos, la empresa fue notificada 90 días antes de que la información se haga pública, y aún no se sabe cuando será solucionada, pero esperamos que la empresa brinde una solución pronto para brindar privacidad completa a sus usuarios.
A continuación pueden encontrar un video que muestra en funcionamiento esta vulnerabilidad: