lunes, julio 06, 2015

Cómo te pueden vigilar constantemente por usar Tinder

Tinder, para los que aún no lo conozcáis, es una red social creada sobre los perfiles de Facebook para ligar con personas que se encuentran cerca de nosotros y que funciona a través de una app para dispositivos móviles - actualmente iOS y Android -. El funcionamiento es tan sencillo como abrir la app y ver como en ella nos van apareciendo recomendaciones de gente cercana a nuestra posición GPS. Con cada recomendación aparece una fotografía  de perfil y otros datos personales y basta con decir si nos gusta o no. Si nosotros hemos indicado que una persona nos gusta, y esa persona ha hecho lo mismo con nosotros, se establece un “match”, que pasa a habilitar la opción de chat entre las dos cuentas.

Figura 1: Cómo te pueden vigilar constantemente por usar Tinder

Como os podéis imaginar, no hay nada más atrayente para un investigador que dedicar tiempo a ver las posibilidades que ofrece este sistema y que como veremos son muchas.

Ligar capturando muchos matchs

La primera idea, y que ha llevado a muchos a estar todo el día con la app, es la de dar masivamente me gusta a todos los perfiles. Luego, con los matchs que se consigan ya se irán haciendo filtrados, pero el razonamiento básico es "cuantos más me gusta más posibilidades de que alguien acepte". Hay gente que ha pasado horas y horas dándole al me gusta para ver si alguna aceptaba, esperando poder automatizarlo de alguna gente.

Este, por supuesto, ha sido el deseo de mucha gente con esta app, y han salido muchas distintas aproximaciones. Nuestro compañero de Eleven Paths Javier Espinosa se dedicó a hacer uso de MonkeyRunner del SDK de Android, se hizo el Automatic Tinder Hack que puedes ver en este vídeo para tener al sistema dando "Me gusta" a toda sugerencia que le aparecía por pantalla.

Figura 2: Automatic Tinder Hack con MonkeyRunner

Algo más sutil fue el truco de un joven emprendedor de Wayra centrado en el Growth Hacking que me propuso hacer al más sutil como poner en todas las fotos de su Facebook mensajes de texto del tipo "Recomendado del día por Tinder" o "Perfect Match for you". Después, a todas las que aceptaban el match el trabajo consistía en utilizar el gancho de "a mí también me ha recomendado Tinder tu perfil".

Más gracioso, sin duda, fue el hacker que consiguió hacer Match entre cuentas de hombres por medio de un bug que localizó en la app, y le permitió generar un montón de ruido entre los pobres que cayeron en la broma.

La API de Tinder "Reverseada"

Por supuesto, desde que se publicó a finales del año pasado el reversing que se hizo de la API de Tinder, muchos han podido automatizar todo tipo de acciones con scripts en Python, Perl, aplicaciones web - como esta para hacer me gustas masivos a ciegas - o incluso Visual Basic Script para Excel. El fichero que se ve en la imagen siguiente es un código en VBA que permite descargar la información de todas las sugerencias en tablas Excel para conocer todos los datos de la gente que esté cerca.

Figura 3: Un programa en VBA para crear una base de datos con perfiles Tinder

Muchas son las utilidades que se pueden hacer mezclando datos de Facebook, ganas de ligar - que si no para que se saca la gente una cuenta de Tinder -, y la ubicación GPS, y esto ha hecho que muchos se den cuenta de las verdaderas posibilidades.

Vigilar un lugar y saber quién está en él en cada momento

Hace tiempo, Dave Aitel publicó en su blog un artículo haciendo un experimento la mar de curioso. Su idea fue utilizar Tinder para saber quién estaba en determinados sitios de alta seguridad, y para eso, utilizando FakeGPS se dedicó a cambiar la ubicación GPS de su terminal por la de edificios de la CIA y la NSA americana.

Figura 4: Perfiles descubiertos con cuentas Tinder en ubicaciones de CIA y NSA

Este experimento se puede hacer en cualquier ubicación, y si recordáis el post dedicado a saber si los vecinos de tu nuevo piso merecen la pena o no, este truco podría ser de gran utilidad. Pero el numero de posibilidades es alto. Un jefe podría saber si sus empleados - de los que sabe que usan Tinder - han ido al trabajo o no, o unos padres podrían saber si sus hijos están en la Universidad, una ciudad o en "casa de Marta para estudiar esta noche", como le habían dicho. O lo que es mucho pero, un atacante podría saber quién está y quién no está en el edificio.

Tinder - Finder: Localizar el sitio en que está una persona por Trilateración

Mucho peor que eso, es posible saber la localización de una persona haciendo varias mediciones y aplicando un algoritmo de trilateración. Bruno Lopez García proponía para este artículo utilizar este algoritmo para saber dónde esta una persona haciendo tres mediciones y esto se puede hacer fácilmente. Hay que tener en cuenta que la app de Tinder también muestra la distancia a la que se está de otra persona cuando vemos su perfil, para que sea mucho más fácil tomar una decisión, y es ahí donde está la gracia.

¿Cómo conoce Tinder estas distancias? Pues tan sencillo como que cada vez que el usuario de la app se mueve, desde el smartphone se envía la nueva posición GPS a los servidores de Tinder para que se ocupen de hacer nuevos cálculos de distancia con otras nuevas personas que se encuentren de nuevo a la distancia adecuada.

Figura 5: Función Ping en la API de Tinder para reportar la nueva ubicación GPS de un perfil

En la API de Tinder existe la posibilidad de enviar la posición por medio de programación, así que utilizando la función ping se puede cambiar tres veces de posición y pedir nuevas sugerencias. Esto es lo que aplica la herramienta Tinder Finder, que se aprovechaba del uso datos exactos en las respuestas de Tinder. Hoy en día no son tan exactos los datos, pero aún así se sigue pudiendo sacar una ubicación bastante aproximada.

Figura 6: Calculo de ubicación GPS de un perfil de Tinder por Trilateración

Por supuesto, cuando la persona vigilada salga en las sugerencias recibidas en las tres ubicaciones utilizadas con tres distancias diferentes, el resto será tirar un poco de matemáticas y averiguar la posición GPS de la persona.

Drones de vigilancia 24 x 7 como Bots en Tinder

A partir de este momento, la cosa se complica mucho más. Cuando se publicó el artículo de Dave Aitel sobre usar FakeDNS junto con Tinder, nosotros en Eleven Paths tuvimos un debate interno, y se nos ocurrió que sería muy fácil crear una cuenta Bot que hiciera de Drone de Vigilancia y que estuviera vigilando a una persona 24 horas al día.  Con Tinder Finder se implementó ya el servicio de localización de personas, aplicando el algoritmo de localización por trilateración, así que el resto es automatizarlo de manera persistente.


Figura 7: Funcionamiento de Tinder Finder

Bastaría con localizarla en una posición - con el algoritmo de trilateración anterior - y a partir de ese momento, situar la posición de nuestra cuenta de vigilancia en la posición del objetivo a vigilar. Periódicamente volver a calcular la posición del objetivo de vigilancia y si la distancia entre la cuenta Drone de vigilancia y la cuenta vigilada es mayor de 20 metros, volver a calcular la posición de la cuenta objetivo y volver a situar la cuenta Drone de Vigilancia sobre ella.

Vigilancia comercial 24 x 7 o Vigilancia de Seguridad 24 x 7

De esta manera tan sencilla se pueden estar vigilando lugares o personas, y es sencillo automatizar este proceso. Es posible crear una base de datos realmente gigante de gente que pasa por un lugar, o incluso vigilar a personas concretas para ver hacia donde se dirige o donde ha estado en un determinado momento. Ahora supongamos que vas a un centro comercial, en el que toman todos los datos tuyos, tal y como os conté en el artículo de cómo te puede espiar tu centro comercial por WiFi y BlueTooth, y el centro comercial tiene un Drone de vigilancia en Tinder del lugar que se dedica a:
1) Ver todos los perfiles Tinder que entran en la tienda.
2) Crear un Drone de seguimiento en Tinder para todos y cada uno de los clientes que pasa a espiarle el resto de su vida para alimentar el Big Data
O mejor, supongamos que en una manifestación de protesta pública se mira que perfiles están en la ubicación GPS, por trilatetaración se sacan los perfiles con una aproximación de metros. Una vez que se sabe quién estaba en la manifestación, se le pone un Drone de vigilancia en Tinder y listo.

Conclusiones

Esta mezcla de Tinder+Facebook+GPS es explosiva, y tienes que tener cuidado porque, en el momento en que te hagas usuario de esta aplicación - o cualquier otra similar - puedes estar bajo vigilancia continua por cualquiera, con el consiguiente riesgo para tu privacidad. La gente podría saber si estás en casa o no o dónde te encuentras en cada momento.

Saludos Malignos!

Autores: Chema Alonso y Bruno López

6 comentarios:

Anónimo dijo...

¿Lo de la trilatetaración es porque se puede aplicar a las manifestaciones de Femen? :P

Anónimo dijo...

total, que ni usando Tinder ligas, no Chemita? :P

Anónimo dijo...

mas que tu seguro

Anónimo dijo...

Muy buen analisis, aplica a glympse algo similar?

karem mendez dijo...

Claro pero la actualizacion del lugar solo sucede cuando abres la ubicacion o esta en constante cambio sin abrir la app?

Curioso dijo...

En caso de que tengas la sesion cerrada en Tinder tambien se va cambiando tu ubicacion?

Entrada destacada

Navaja Negra: La CON de Albacete el 29 de Septiembre @navajanegra_ab @elevenpaths @0xWord

Es la sexta edición de esta CON que comenzó hace ya más de un lustro en la ciudad de Albacete , reúne el próximo 29 de Septiembre a una b...

Entradas populares