Según un reporte, una falla en la popular app de citas Bumble habría permitido a los actores de amenazas obtener la ubicación precisa de cualquier usuario sin mayores complicaciones. Bumble cuenta con alrededor de 100 millones de usuarios en todo el mundo y funciona de modo muy similar a Tinder y otras plataformas similares.
El investigador de seguridad Robert Heaton usó algunos perfiles falsos para diseñar lo que llamó un “ataque de trilateración” con el fin de determinar la ubicación precisa de un potencial usuario afectado. La falla fue presentada a los desarrolladores de la aplicación, quienes se apresuraron a lanzar un parche de seguridad después de recibir el reporte.
Heaton menciona que, si bien la falla no brindaba a los atacantes la ubicación en tiempo real de los usuarios, sí permitía delimitar sus movimientos y, por lo tanto, descubrir sus domicilios particulares y dar cierto nivel de seguimiento a sus rutinas diarias. El investigador recibió una recompensa de $2,000 USD por su reporte, cantidad que donó a Against Malaria Foundation.
Para su investigación, Heaton desarrolló un script para el envío automático de secuencias de solicitudes a los servidores de Bumble para saber la ubicación relativa de un usuario objetivo: “Si, como atacantes, podemos encontrar el punto en que la distancia del usuario cambia de 3 a 4 millas, podremos inferir que este es el punto en el que la víctima está a 3.5 millas de distancia”, señala el investigador.
Después de que el atacante encuentra tres “puntos de inflexión”, tendría las tres distancias exactas a su víctima necesarias para ejecutar una trilateración precisa.
Aunque Bumble corrigió la falla, el experto asegura que este es un problema persistente: “Simplemente tendría que editar el script para evadir las modificaciones implementadas por la aplicación”, menciona Heaton. Finalmente, el investigador recomendó a los desarrolladores algunas medidas de seguridad para mitigar esta clase de riesgos en el futuro.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad