Un equipo de investigadores de la firma de seguridad Checkmarx descubrió una vulnerabilidad en la versión para Android de la app para ligar OKCupid. De acuerdo con el informe, el fallo de seguridad podría haber permitido a los atacantes acceder a los nombres de usuario, contraseñas y otra información personal. El problema ha sido solucionado, por lo que si tienes la aplicación actualizada no corres peligro.

Según los investigadores, la vulnerabilidad se encontraba en el navegador WebView integrado en la app de citas, una tecnología de Google que permite a los desarrolladores de Android mostrar contenido web dentro de sus aplicaciones sin necesidad de implementar un navegador completo. 

El informe señala que, aunque la mayoría de los enlaces de la app se abren en el navegador elegido por el usuario, un atacante podría imitar fácilmente ciertos enlaces que se abren dentro de la aplicación. 

Valiéndose de esta estrategia, los investigadores fueron capaces de crear una versión falsa de la página de inicio de sesión de OKCupid. Después, crearon un perfil falso y utilizaron el servicio de mensajería de la aplicación para perpetrar un ataque de phishing, que les permitió robar los credenciales de inicio de sesión de las víctimas y mucha información privada, como la dirección de correo electrónico, el nombre, el sexto, la fecha de nacimiento, el país, el código postal, e incluso el rango de edad y las personas con las que la víctima estaba interesada en salir. 

«Los usuarios están acostumbrados a sospechar de los enlaces que llegan por correo electrónico o apps de mensajería, pero existe una confianza falsa en los enlaces que se envían como mensajes internos de las aplicaciones», explica Erez Yalon, jefe de investigación de seguridad en Checkmarx. «Desgraciadamente, en este caso, el ataque sería muy difícil de identificar por parte de un usuario desprevenido». 

Los investigadores señalan que comunicaron el problema a OKCupid el pasado 15 de noviembre. La compañía estuvo trabajando para buscar una solución, que fue lanzada en enero, por lo que si tienes la aplicación actualizada ya no corres peligro. La versión para iOS no está afectada, de manera que si tienes un iPhone y utilizas esta app de citas no tienes de qué preocuparte.