Investigadores de la Universidad KU Leuven en Bélgica descubrieron que fallas en el diseño de varias Apps de citas permitieron a malintencionados localizar la posición exacta de los usuarios con una precisión de hasta 2 metros. Las aplicaciones afectadas incluyen a Bumble, Hinge, Badoo, Grindr, Happn y Hily. Todas presentaban esta vulnerabilidad que exponía las ubicaciones de los usuarios.
A través de una técnica llamada trilateración, que comúnmente se usa en sistemas GPS para determinar la ubicación de un objetivo, los investigadores pudieron dar con las posiciones. En este caso, desarrollaron una variación conocida como «trilateración de oráculo». Este método implicaba que un atacante estimara inicialmente la ubicación del objetivo y luego se moviera en incrementos hasta determinar la posición exacta basándose en la proximidad indicada por la aplicación. Este proceso se repetía en tres direcciones diferentes para calcular la ubicación precisa del usuario.
A pesar de que las Apps de citas no compartían ubicaciones exactas en los perfiles de usuario, utilizaban ubicaciones precisas para las funciones de filtros. Los atacantes podían explotar estas funciones para obtener la ubicación casi exacta de los usuarios.
Respuestas de las Apps de citas
Las plataformas involucradas han implementado medidas para corregir estas vulnerabilidades. Bumble y Hily, por ejemplo, redondearon las coordenadas exactas para hacerlas menos precisas, aumentando la incertidumbre a aproximadamente un kilómetro. Bumble fue informado de estos hallazgos a principios de 2023 y resolvió rápidamente los problemas. Hily, por su parte, implementó nuevos algoritmos de geocodificación para eliminar este tipo de ataques.
Happn añadió una capa adicional de protección que no fue considerada en el análisis original de los investigadores, lo que, según ellos, hace inefectiva la técnica de trilateración en su software. Grindr, aunque no permite que la precisión de la ubicación baje de 111 metros, permite a los usuarios desactivar la visualización de su distancia.
A pesar de estas medidas adoptadas, los investigadores señalan que una precisión de 111 metros sigue siendo potencialmente peligrosa en áreas densamente pobladas. Grindr defiende la necesidad de esta funcionalidad para conectar a los usuarios con su comunidad local, pero ofrece opciones para controlar la información de ubicación que se comparte.
