martes, 2 de septiembre de 2014

Grindr protege la función de mostrar la distancia a otros usuarios para mejorar la seguridad

Grindr protege la función de mostrar la distancia a otros usuarios para mejorar la seguridad 
Hace solo una semana que un usuario de Grindr, la popular app para hombres que buscan sexo con hombres, daba la señal de alarma: un fallo de seguridad en la aplicación permitía que se pudiera conocer la ubicación exacta de los usuarios del servicio. Esto puede ser solo una pequeña molestia en la mayoría de los sitios, pero puede suponer una sentencia de muerte en los países en los que ser gay está perseguido por la ley. Una demostración en América Blog con usuarios iraníes mostraba las terroríficas posibilidades. En respuesta, según señala el mismo usuario que mostró este fallo, la aplicación ha deshabilitado en sus servidores la opción de mostrar la distancia exacta a la que se encuentran los usuarios, ya que es a partir de esa información que se podían obtener los datos de situación concreta. Grindr solo muestra una distancia, sin indicar direcciones, pero un pirata que sepa aprovechar esa vulnerabilidad puede obtener todos los datos extrapolando los datos de distancia mostrados por varios usuarios como se ve en este gráfico:



En concreto, este pirata demostró las posibilidades de este agujero de seguridad y pudo hacerse en una semana con la localización exacta de 630.157 usuarios de la aplicación en 131 países de todo el mundo, a los que mandó mensajes para advertirles. Esto es aproximadamente el 10% de los usuarios mensuales de la app, incluyendo la localización exacta de 2311 usuarios en Rusia, 926 en Turquía, 753 en China, 622 en Egipto, 349 en Irán, 333 en Irak, 134 en los Emiratos Árabes y en Corea del Norte, e incluso datos de lugares con menos usuarios, como 29 personas en Arabia Saudí, o 30 en Qatar. Los resultados pueden verse en un mapa en su web.

Tres días después de que se anunciara este fallo, que los responsables de Grindr conocían aunque no le habían dado la suficiente importancia, la aplicación empezó a mostrar un mensaje en inglés a los usuarios advirtiéndoles de los peligros de seguridad que conlleva mostrar la distancia exacta. Pero finalmente han optado por eliminarla. El pirata que ha destapado el problema dice que desde la jornada de ayer ya no es posible obtener este dato. Este usuario ha advertido en todo caso a los usuarios de Egipto de que extremen las precauciones después de que ayer se conociera que la policía egipcia se está infiltrando en la aplicación para arrestar a la población homosexual en el país.
Fuente: Ragap

No hay comentarios:

Publicar un comentario