Algunas de las aplicaciones que analizamos permiten ligar la cuenta sobre consumidor a Instagram. La documentacion extraida sobre este ademas nos ayudo a establecer las nombres reales: en Instagram gran cantidad de usuarios muestran sus nombres desplazandolo hacia el pelo apellidos reales, entretanto que otros las aportan en el sustantivo de la cuenta. Estos datos podrian utilizarse para hallar sus cuentas en Facebook o LinkedIn.
Localizacion
La mayoria de estas aplicaciones analizadas son vulnerables a un ataque que pretenda identificar la localizacion de las usuarios, a pesar sobre que la amenaza Ahora se menciono en diversos estudios. En particular, encontramos que las usuarios sobre Tinder, Mamba, Zoosk, Happn, WeChat asi como Paktor son susceptibles a este ataque.
Captura de pantalla sobre la aplicacion WeChat Con El Fin De Android, que muestra la distancia que separa a las usuarios
El ataque usa una accion que muestra la trayecto a otros usuarios, Generalmente a los cuyo lateral se esta observando en un momento poliedro. Aunque la empleo nunca muestra la domicilio, se puede establecer la localizacion desplazandose en los alrededores sobre la victima desplazandolo hacia el pelo anotando las datos acerca de la trayecto. Este metodo seria muy hacendoso, No obstante hay otros servicios que facilitan la faena: un atacante puede, sin camping solteros citas moverse de su sitio, “alimentarlos” con coordenadas falsas, desplazandolo hacia el pelo conseguir cada vez datos referente a la trayecto inclusive el duei±o de el lateral.
La aplicacion Mamba de Android muestra la recorrido inclusive el usuario
Las distintas aplicaciones muestran la distancia inclusive las usuarios con diversos margenes de error: desde decenas sobre metros inclusive un kilometro. Cuanto inferior sea la precision, mas veces habra que destinar las coordenadas.
aparte de la distancia entre usuarios, Happn muestra el numero sobre veces que las caminos se han cruzado.
Transmision de trafico carente compendiar
Igual que parte sobre nuestro analisis, igualmente verificamos que arquetipo sobre datos intercambian las aplicaciones con las servidores. Nos preguntabamos que datos se pueden interceptar En Caso De Que un usuario, como podria ser, se conecta a la red inalambrica no segura, por motivo de que es bastante permanecer en la misma red para que el delincuente pueda hacer el ataque. Inclusive En Caso De Que la red Wi-Fi esta cifrada, se puede interceptar el trafico en el punto de paso En Caso De Que este seria administrado por un atacante.
La generalidad de estas aplicaciones emplean el protocolo SSL cuando se comunican con el servidor, pero existe datos que se envian sin cifrado. Por ejemplo, Tinder, Paktor, Bumble para Android, asi como la interpretacion para iOS de Badoo descargan las fotografias por HTTP, es decir, carente refugio. Debido a lo cual, un atacante podria, dentro de diferentes cosas, saber que cuestionarios esta viendo la victima en determinado momento.
Solicitudes HTTP que la uso Tinder envia para cobrar fotos
La traduccion para Android de Paktor emplea el modulo sobre examen quantumgraph, que transmite falto cifrado una enorme abundancia sobre documentacion, incluyendo el nombre de el usuario, su dia de nacimiento asi como coordenadas GPS. Ademas, el modulo envia al servidor documentacion en las funciones de la uso que la victima esta utilizando en un instante poliedro. Vale la pena notar que en la interpretacion iOS de Paktor al completo el trafico esta encriptado.
Los datos que el modulo quantumgraph envia al servidor en excelente condicion fisica nunca cifrada incorporan las coordenadas de el usuario
Aunque la empleo Badoo se sirve el cifrado, su interpretacion Con El Fin De Android envia al servidor determinados datos sin compendiar (coordenadas GPS, documentacion acerca de el mecanismo y no ha transpirado el operador movil, etc.) si no puede conectarse al servidor como consecuencia de HTTPS.
La empleo Badoo transmite las coordenadas del usuario en buena condicion fisica nunca cifrada
Dentro de los servicios sobre citas, Mamba dispone de caracteristicas que lo diferencian. En primer sitio, la lectura para Android de la uso abarca el modulo sobre analisis flurry, que envia las datos del mecanismo (fabricante, modelo, etc.) al servidor en buena condicion fisica no cifrada. En segundo lugar, la lectura de iOS sobre la empleo Mamba se conecta al servidor HTTP desprovisto utilizar ningun cifrado.
La empleo Mamba transmite datos desprovisto cifrar, dentro de ellos los mensajes
Sobre esta manera, un atacante puede ver e inclusive modificar todo el mundo los datos que la aplicacion intercambia con el servidor, incluidos las mensajes personales. Ademas, puede producir acceso a la despacho sobre la cuenta utilizando algunos de las datos interceptados.
