Dos enginyers catalans descobreixen un error que permetia localitzar els usuaris de Tinder
La fallada revelava la ubicació exacta de les persones que feien 'match'. La posició s'actualitzava quan obrien l'aplicació
"Oriol, Tinder m'està donant la teva localització exacta: sé que ets al menjador de casa teva". L'enginyer informàtic Marc Pratllusà no podia amagar la sorpresa quan va descobrir que aquesta aplicació li estava donant les coordenades exactes d'on es trobava Oriol Martínez, també enginyer informàtic especialitzat en seguretat. Pratllusà, expert en programació, no és hacker i ni tan sols va necessitar entrar als servidors de Tinder per aconseguir aquesta informació: va ser molt més senzill. Un error en el disseny de l'aplicació permetia –si es tenen uns mínims coneixements sobre informàtica– conèixer la latitud i longitud on es trobaven cadascuna de les persones amb les quals havies connectat a través de l'aplicació.
Tinder va ignorar l’error durant tres mesos i ho va arreglar sense avisar aquest dimarts
Aquesta aplicació per lligar ofereix als usuaris diverses fotografies de persones que es troben a una distància determinada —que l'usuari pot establir—; quan totes dues persones cliquen m'agrada a les seves respectives fotos, es produeix un match (emparellament). I quan això passava, cadascuna d'aquestes persones podia ser capaç de veure la localització exacta de l'altra. Així, amb els milers, milions de matchs que es produeixen al dia, fins i tot encara que després bloquegessis l'usuari. Això passava fins dimarts, quan l'error es va solucionar sense avisos ni canvis aparents en l'aplicació.
Un dels factors que més preocupava aquests dos enginyers catalans és que la localització s'actualitzava cada vegada que l'usuari obria l'aplicació en un lloc diferent. "T'havies d'haver mogut dos quilòmetres respecte a la localització anterior perquè aparegués la nova", explica Martínez. Quan es van adonar que les coordenades que apareixien al sistema variaven amb el pas de les hores, van decidir fer una prova. Martínez va estar durant un dia movent-se per Barcelona i els voltants. Va obrir l'aplicació sis vegades, en sis llocs diferents. Pratllusà era davant de l'ordinador. No li calia sortir de casa. "El podia tenir controlat, sabia que a les 12.01 estava sortint de Mollet del Vallès i que a les 12.21 estava entrant a Granollers".
Tinder ha rebutjat fer comentaris sobre aquest error de disseny. "La privadesa i la seguretat dels nostres usuaris són la nostra prioritat. No comentem cap vulnerabilitat específica que puguem descobrir per protegir-los", ha assenyalat l'empresa a EL PAÍS. La resposta de l'empresa no difereix gaire de la que va donar als enginyers quan la van informar del problema fa tres mesos. "Va ser una resposta automàtica: Thanks for your feedback. Gairebé tres mesos després no havien fet cap canvi, fins que ho hem publicat i vosaltres us hi heu posat en contacte", expliquen.
Martínez i Pratllusà van descobrir l'error gairebé per casualitat. En Marc estava preparant al maig una aplicació per buscar vols i s'estava fixant en grans apps per veure com estaven dissenyades. "Ja havíem revisat Facebook, Spotify, Wallapop... i ho vam provar també amb Tinder", assenyala. Estudiant el disseny es va adonar que estava enviant informació no necessària per fer-la funcionar. "És cert que és una aplicació que necessita saber la teva localització per poder ensenyar-te nous usuaris, però l'hauria de donar en distància, no en coordenades", descriu Pratllusà.
Per poder llegir aquesta informació, els dos enginyers només van haver d'instal·lar un proxy entre els servidors de Tinder i el mòbil. Aquest element, que està situat al mig, pot llegir la informació que l'aplicació envia al terminal de l'usuari. "Saber col·locar un proxy és senzill, ho podria fer algú que encara no hagués ni acabat l'enginyeria. N'hi ha prou amb tenir alguns coneixements sobre el funcionament de les aplicacions amb els seus servidors", afegeix Martínez.
No sabem quant de temps ha estat així, podem confirmar tres mesos, però sospitem que molt més temps
Quan van col·locar el proxy i van veure que hi havia alguna cosa que no quadrava, van decidir crear-se un parell de perfils falsos a Tinder perquè altres usuaris poguessin fer match i comprovar si el que apareixia al seu sistema funcionava amb qualsevol tipus d'usuari. I va ser així. Si des de l'aplicació al mòbil tenien un match amb algun usuari, podien analitzar la informació i veure exactament la localització d'aquesta persona. "Ens semblava una cosa molt greu. No sabem quant de temps ha estat així, podem confirmar que almenys tres mesos, però sospitem que molt més temps".
Tu suscripción se está usando en otro dispositivo
¿Quieres añadir otro usuario a tu suscripción?
Si continúas leyendo en este dispositivo, no se podrá leer en el otro.
FlechaTu suscripción se está usando en otro dispositivo y solo puedes acceder a EL PAÍS desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripción a la modalidad Premium, así podrás añadir otro usuario. Cada uno accederá con su propia cuenta de email, lo que os permitirá personalizar vuestra experiencia en EL PAÍS.
En el caso de no saber quién está usando tu cuenta, te recomendamos cambiar tu contraseña aquí.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrará en tu dispositivo y en el de la otra persona que está usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aquí los términos y condiciones de la suscripción digital.