En la era digital, las funciones de geolocalización de muchas aplicaciones ofrecen una comodidad innegable, como seleccionar el comercio más cercano para realizar una compra urgente para retirar personalmente, pero, en el caso de las redes sociales, las aplicaciones de citas, los juegos y muchos otros servicios en línea, probablemente no sea la mejor idea compartir la ubicación exacta. En este sentido, el equipo de investigación de ESET alerta cómo algunas apps de citas filtraban ubicaciones exactas de sus usuarios.
Cuando se permite que una aplicación utilice la ubicación del dispositivo, por ejemplo en una aplicación de citas, es razonable suponer que la ubicación es generalizada, por ejemplo: “situado en Tampa a 23 millas”. Con una población de unos 400,000 habitantes, localizar la ubicación exacta de alguien debería ser una tarea difícil. Sin embargo, la semana pasada en Black Hat USA, un equipo de investigación belga demostró cómo algunas aplicaciones de citas filtraban inadvertidamente datos de ubicación exacta de los usuarios, con los riesgos y violaciones a la privacidad que esto significa.
“Si bien ya se informó responsablemente del problema a las numerosas aplicaciones de citas afectadas y el problema se ha resuelto, este caso funciona como recordatorio de cómo los hábitos aparentemente inofensivos pueden poner en peligro la privacidad.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Se demostró que a partir de los datos de “X millas de distancia” podían triangular una ubicación exacta del usuario. Seleccionando un perfil de destino, dibujaron un círculo con su ubicación en el centro, hasta la distancia de 23 millas. Luego falseando su ubicación dibujaron un segundo círculo superpuesto al anterior en algún punto. Con una tercera ubicación falseada, y un tercer círculo trazado en el lugar donde se encuentran los tres, pudieron determinar la ubicación exacta del usuario objetivo, que nunca se enteró de dicha filtración.
“La misma técnica se puede utilizar cuando se establecen límites de ubicación; por ejemplo, seleccionando todos los perfiles a 8 km. Si repitiéramos el proceso anterior podrá identificarse la ubicación de un perfil. Solo las aplicaciones o servicios que utilizan la ubicación exacta tienen este problema, si la ubicación se redondea a, por ejemplo, una milla, entonces la ubicación exacta no se puede identificar utilizando este método.”, agrega el investigador de ESET.
Se examinaron 15 aplicaciones de citas en busca de problemas de privacidad, como el descrito anteriormente, a la vez que analizaban sus interfaces API, políticas de privacidad y otros datos. La investigación se centró específicamente en las aplicaciones de citas, pero muchos servicios y aplicaciones utilizan la ubicación de la misma manera. Por ejemplo, en las aplicaciones de juegos, ya que es posible en varias versiones encontrar a otros jugadores del mismo juego que estén cerca.