Te pueden vigilar constantemente por usar Tinder

Tinder, para los que aún no la conozan, es una red social creada sobre los perfiles de Facebook para “ligar” con personas que se encuentran cerca de nosotros y que funciona a través de una app para dispositivos móviles (actualmente iOS y Android).

El funcionamiento es tan sencillo como abrir la app y ver como en ella nos van apareciendo recomendaciones de gente cercana a nuestra posición GPS. Con cada recomendación aparece una fotografía  de perfil y otros datos personales y basta con decir si nos gusta o no. Si nosotros hemos indicado que una persona nos gusta, y esa persona ha hecho lo mismo con nosotros, se establece un “match”, que pasa a habilitar la opción de chat entre las dos cuentas.

Como ya te podrás imaginar, no hay nada más atrayente para un investigador que dedicar tiempo a ver las posibilidades que ofrece este sistema y que como veremos son muchas.

Ligar capturando muchos matchs

La primera idea, y que ha llevado a muchos a estar todo el día con la app, es la de dar masivamente me gusta a todos los perfiles. Luego, con los matchs que se consigan ya se irán haciendo filtrados, pero el razonamiento básico es “cuantos más me gusta más posibilidades de que alguien acepte”. Hay gente que ha pasado horas y horas dándole al me gusta para ver si alguna aceptaba, esperando poder automatizarlo de alguna gente.

Este, por supuesto, ha sido el deseo de mucha gente con esta app, y han salido muchas aproximaciones. Se puede, por ejemplo, hacer uso de MonkeyRunner, una herramienta que proporciona Android junto a su SDK que permite ejecutar pequeños scripts Python en los dispositivos, con lo que podremos automatizar esta tarea y además, ya que estamos, podríamos incluso almacenar las fotos de perfil de la gente a la que hacemos “like” (eso sí, ralentizando algo todo el proceso).

Y con ello, de la foto de Tinder al perfil de Facebook con Google Images en un paso…

facetinder

Algo más sutil fue el truco de un joven emprendedor de Wayra centrado en el Growth Hacking que propuso poner en todas las fotos de su Facebook mensajes de texto del tipo “Recomendado del día por Tinder” o “Perfect Match for you”. Después, a todas las que aceptaban el match el trabajo consistía en utilizar el gancho de “a mí también me ha recomendado Tinder tu perfil”.

Más gracioso, sin duda, fue el hacker que consiguió hacer Match entre cuentas de hombres por medio de un bug que localizó en la app, y le permitió generar un montón de ruido entre los pobres que cayeron en la broma.

La API de Tinder “Reverseada”

Por supuesto, desde que se publicó a finales del año pasado el reversing que se hizo de la API de Tinder, muchos han podido automatizar todo tipo de acciones con scripts en Python, Perl, aplicaciones web (como esta para dar “me gusta” masivos a ciegas) o incluso Visual Basic Script para Excel. El fichero que se ve en la imagen siguiente es un código en VBA que permite descargar la información de todas las sugerencias en tablas Excel para conocer todos los datos de la gente que esté cerca.

TinderEXCEL

Muchas son las utilidades que se pueden hacer mezclando datos de Facebook, ganas de ligar (que si no, para qué se saca la gente una cuenta de Tinder?), y la ubicación GPS, y esto ha hecho que muchos se den cuenta de las verdaderas posibilidades.

Vigilar un lugar y saber quién está en él en cada momento

Hace tiempo, Dave Aitel publicó en su blog un artículo haciendo un experimento por demás curioso. Su idea fue utilizar Tinder para saber quién estaba en determinados sitios de alta seguridad, y para eso, utilizando FakeGPS se dedicó a cambiar la ubicación GPS de su terminal por la de edificios de la CIA y la NSA norteamericanas.

TinderFakeGPS

Este experimento se puede hacer en cualquier ubicación, y el truco podría ser de gran utilidad. Pero el numero de posibilidades es alto. Un jefe podría saber si sus empleados (de los que sabe que usan Tinder) han ido al trabajo o no, o unos padres podrían saber si sus hijos están en la Universidad, una ciudad o en “casa de Marta para estudiar esta noche”, como les habían dicho. O lo que es mucho peor, un atacante podría saber quién está y quién no está en el edificio.

Tinder – Finder: Localizar el sitio en que está una persona por Trilateración

Mucho peor que eso, es posible saber la localización de una persona haciendo varias mediciones y aplicando un algoritmo de trilateración. Se puede utilizar este algoritmo para saber dónde esta una persona haciendo tres mediciones y esto se puede hacer fácilmente. Hay que tener en cuenta que la app de Tinder también muestra la distancia a la que se está de otra persona cuando vemos su perfil, para que sea mucho más fácil tomar una decisión, y es ahí donde está la gracia.

¿Cómo conoce Tinder estas distancias? Pues tan sencillo como que cada vez que el usuario de la app se mueve, desde el smartphone se envía la nueva posición GPS a los servidores de Tinder para que se ocupen de hacer nuevos cálculos de distancia con otras nuevas personas que se encuentren de nuevo a la distancia adecuada.

TinderPing
Función Ping en la API de Tinder para reportar la nueva ubicación GPS de un perfil

En la API de Tinder existe la posibilidad de enviar la posición por medio de programación, así que utilizando la función ping se puede cambiar tres veces de posición y pedir nuevas sugerencias. Esto es lo que aplica la herramienta Tinder Finder, que se aprovechaba del uso datos exactos en las respuestas de Tinder. Hoy en día no son tan exactos los datos, pero aún así se sigue pudiendo sacar una ubicación bastante aproximada.

TinderTrilateracion
Calculo de ubicación GPS de un perfil de Tinder por Trilateración

Por supuesto, cuando la persona vigilada salga en las sugerencias recibidas en las tres ubicaciones utilizadas con tres distancias diferentes, el resto será calcular con un poco de matemáticas y averiguar la posición GPS de la persona.

Drones de vigilancia 24 x 7 como Bots en Tinder

A partir de este momento, la cosa se complica mucho más. Cuando se publicó el artículo de Dave Aitel sobre usar FakeDNS junto con Tinder, nosotros tuvimos un debate interno, y se nos ocurrió que sería muy fácil crear una cuenta Bot que hiciera de Drone de Vigilancia y que estuviera vigilando a una persona 24 horas al día. Con Tinder Finder se implementó ya el servicio de localización de personas, aplicando el algoritmo de localización por trilateración, así que el resto es automatizarlo de manera persistente.

Bastaría con localizarla en una posición (con el algoritmo de trilateración anterior) y a partir de ese momento, situar la posición de nuestra cuenta de vigilancia en la posición del objetivo a vigilar. Periódicamente volver a calcular la posición del objetivo de vigilancia y si la distancia entre la cuenta Drone de vigilancia y la cuenta vigilada es mayor de 20 metros, volver a calcular la posición de la cuenta objetivo y volver a situar la cuenta Drone de Vigilancia sobre ella.

Vigilancia comercial 24 x 7 o Vigilancia de Seguridad 24 x 7

De esta manera tan sencilla se pueden estar vigilando lugares o personas, y es sencillo automatizar este proceso. Es posible crear una base de datos realmente gigante de gente que pasa por un lugar, o incluso vigilar a personas concretas para ver hacia donde se dirige o donde ha estado en un determinado momento. Ahora supongamos que vas a un centro comercial, en el que toman todos los datos tuyos, tal y como ya lo conté en el artículo de acerca de cómo te puede espiar tu centro comercial por WiFi y BlueTooth, y el centro comercial tiene un Drone de vigilancia en Tinder del lugar que se dedica a:

  1. Ver todos los perfiles Tinder que entran en la tienda.
  2. Crear un Drone de seguimiento en Tinder para todos y cada uno de los clientes que pasa a espiarle el resto de su vida para alimentar el Big Data
  3. O mejor, supongamos que en una manifestación de protesta pública se mira que perfiles están en la ubicación GPS, por trilatetaración se sacan los perfiles con una aproximación de metros. Una vez que se sabe quién estaba en la manifestación, se le pone un Drone de vigilancia en Tinder y listo.

Conclusiones

Esta mezcla de Tinder+Facebook+GPS es explosiva, y tienes que tener cuidado porque, en el momento en que te hagas usuario de esta aplicación (o cualquier otra similar) puedes estar bajo vigilancia continua por cualquiera, con el consiguiente riesgo para tu privacidad.

La gente podría saber si estás en casa o no o dónde te encuentras en cada momento…

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s