_
_
_
_
Tecnologia
_

Dos enginyers catalans descobreixen un error que permetia localitzar els usuaris de Tinder

La fallada revelava la ubicació exacta de les persones que feien 'match'. La posició s'actualitzava quan obrien l'aplicació

Beatriz Guillén
Beatriz Guillén
Facebook
Twitter
Linkedin
Copiar enlace
Un usuari fa un 'm'agrada' a l'aplicació de lligar Tinder.
Un usuari fa un 'm'agrada' a l'aplicació de lligar Tinder.

"Oriol, Tinder m'està donant la teva localització exacta: sé que ets al menjador de casa teva". L'enginyer informàtic Marc Pratllusà no podia amagar la sorpresa quan va descobrir que aquesta aplicació li estava donant les coordenades exactes d'on es trobava Oriol Martínez, també enginyer informàtic especialitzat en seguretat. Pratllusà, expert en programació, no és hacker i ni tan sols va necessitar entrar als servidors de Tinder per aconseguir aquesta informació: va ser molt més senzill. Un error en el disseny de l'aplicació permetia –si es tenen uns mínims coneixements sobre informàtica– conèixer la latitud i longitud on es trobaven cadascuna de les persones amb les quals havies connectat a través de l'aplicació.

Tinder va ignorar l’error durant tres mesos i ho va arreglar sense avisar aquest dimarts

Aquesta aplicació per lligar ofereix als usuaris diverses fotografies de persones que es troben a una distància determinada —que l'usuari pot establir—; quan totes dues persones cliquen m'agrada a les seves respectives fotos, es produeix un match (emparellament). I quan això passava, cadascuna d'aquestes persones podia ser capaç de veure la localització exacta de l'altra. Així, amb els milers, milions de matchs que es produeixen al dia, fins i tot encara que després bloquegessis l'usuari. Això passava fins dimarts, quan l'error es va solucionar sense avisos ni canvis aparents en l'aplicació. 

Un dels factors que més preocupava aquests dos enginyers catalans és que la localització s'actualitzava cada vegada que l'usuari obria l'aplicació en un lloc diferent. "T'havies d'haver mogut dos quilòmetres respecte a la localització anterior perquè aparegués la nova", explica Martínez. Quan es van adonar que les coordenades que apareixien al sistema variaven amb el pas de les hores, van decidir fer una prova. Martínez va estar durant un dia movent-se per Barcelona i els voltants. Va obrir l'aplicació sis vegades, en sis llocs diferents. Pratllusà era davant de l'ordinador. No li calia sortir de casa. "El podia tenir controlat, sabia que a les 12.01 estava sortint de Mollet del Vallès i que a les 12.21 estava entrant a Granollers". 

Mapa elaborat pels dos enginyers que mostra els llocs exactes on va ser un usuari de Tinder al llarg d'un dia.
Mapa elaborat pels dos enginyers que mostra els llocs exactes on va ser un usuari de Tinder al llarg d'un dia.

Tinder ha rebutjat fer comentaris sobre aquest error de disseny. "La privadesa i la seguretat dels nostres usuaris són la nostra prioritat. No comentem cap vulnerabilitat específica que puguem descobrir per protegir-los", ha assenyalat l'empresa a EL PAÍS. La resposta de l'empresa no difereix gaire de la que va donar als enginyers quan la van informar del problema fa tres mesos. "Va ser una resposta automàtica: Thanks for your feedback. Gairebé tres mesos després no havien fet cap canvi, fins que ho hem publicat i vosaltres us hi heu posat en contacte", expliquen.

Martínez i Pratllusà van descobrir l'error gairebé per casualitat. En Marc estava preparant al maig una aplicació per buscar vols i s'estava fixant en grans apps per veure com estaven dissenyades. "Ja havíem revisat Facebook, Spotify, Wallapop... i ho vam provar també amb Tinder", assenyala. Estudiant el disseny es va adonar que estava enviant informació no necessària per fer-la funcionar. "És cert que és una aplicació que necessita saber la teva localització per poder ensenyar-te nous usuaris, però l'hauria de donar en distància, no en coordenades", descriu Pratllusà. 

Localització d'una usuària, amb les coordenades exactes, que permetia l'aplicació de Tinder.
Localització d'una usuària, amb les coordenades exactes, que permetia l'aplicació de Tinder.Marc Pratllusà/Oriol Martínez

Per poder llegir aquesta informació, els dos enginyers només van haver d'instal·lar un proxy entre els servidors de Tinder i el mòbil. Aquest element, que està situat al mig, pot llegir la informació que l'aplicació envia al terminal de l'usuari. "Saber col·locar un proxy és senzill, ho podria fer algú que encara no hagués ni acabat l'enginyeria. N'hi ha prou amb tenir alguns coneixements sobre el funcionament de les aplicacions amb els seus servidors", afegeix Martínez. 

No sabem quant de temps ha estat així, podem confirmar tres mesos, però sospitem que molt més temps

Quan van col·locar el proxy i van veure que hi havia alguna cosa que no quadrava, van decidir crear-se un parell de perfils falsos a Tinder perquè altres usuaris poguessin fer match i comprovar si el que apareixia al seu sistema funcionava amb qualsevol tipus d'usuari. I va ser així. Si des de l'aplicació al mòbil tenien un match amb algun usuari, podien analitzar la informació i veure exactament la localització d'aquesta persona. "Ens semblava una cosa molt greu. No sabem quant de temps ha estat així, podem confirmar que almenys tres mesos, però sospitem que molt més temps". 

Regístrate gratis para seguir leyendo

Si tienes cuenta en EL PAÍS, puedes utilizarla para identificarte
INICIA SESIÓNREGÍSTRATE

O suscríbete para leer sin límites

_

Sobre la firma

Beatriz Guillén
Beatriz Guillén
Beatriz Guillén - twitter
Redactora de EL PAÍS en México. Trabaja en la mesa digital y suele cubrir temas sociales. Antes estaba en la sección de Materia, especializada en temas de Tecnología. Es graduada en Periodismo por la Universidad de Valencia y Máster de Periodismo en EL PAÍS. Vive en Ciudad de México.

Más información

Imatge d' un vídeo promocional de Tinder.

Tinder tanca per als menors de 18 anys

El País | Madrid

Arxivat A

Recomendaciones EL PAÍS
Cursos
cursos
¡Da un salto en tu carrera! Encuentra los mejores cursos y formación profesional con alta demanda laboral
¡Da un salto en tu carrera! Encuentra los mejores cursos y formación profesional con alta demanda laboral
cursos
¿Quieres especializarte en Marketing 'online'? ¡Encuentra aquí el mejor máster para ti!
¿Quieres especializarte en Marketing 'online'? ¡Encuentra aquí el mejor máster para ti!
cursos
Encuentra el mejor curso de FP de Técnico Superior en Desarrollo de Aplicaciones Web
Encuentra el mejor curso de FP de Técnico Superior en Desarrollo de Aplicaciones Web
cursos
Encuentra el mejor máster para especializarte en Recursos Humanos
Encuentra el mejor máster para especializarte en Recursos Humanos
Recomendaciones EL PAÍS
Centros
cursosonline
Maestría en Administración de Empresas con concentración en Transformación Digital y Desarrollo de Negocios
Maestría en Administración de Empresas con concentración en Transformación Digital y Desarrollo de Negocios
cursosonline
Curso en línea de experto en Calidad Industrial y Procesos Farmacéuticos
Curso en línea de experto en Calidad Industrial y Procesos Farmacéuticos
cursosonline
Maestría en línea en Programación Web
Maestría en línea en Programación Web
cursosonline
Maestría en línea en Ciencias en Educación Virtual
Maestría en línea en Ciencias en Educación Virtual
Recomendaciones EL PAÍS
Francés online
cursosingles
Mejore su francés con solo 15 minutos al día
Mejore su francés con solo 15 minutos al día
cursosingles
Disfrute de nuestras lecciones personalizadas, breves y divertidas.
Disfrute de nuestras lecciones personalizadas, breves y divertidas.
cursosingles
Obtendrá un diploma con estadísticas de nivel, progresión y participación.
Obtendrá un diploma con estadísticas de nivel, progresión y participación.
cursosingles
21 días de prueba gratuita. ¡Empiece ya!
21 días de prueba gratuita. ¡Empiece ya!
_
_