TechCrunch повідомляє, що група дослідників з університету KU Leuven у Бельгії визначила шість популярних застосунків для знайомств, за допомогою яких зловмисники можуть визначати майже точне місцезнаходження інших користувачів.
Програми для знайомств Hinge, Happn, Bumble, Grindr, Badoo і Hily демонстрували певну форму трилатерації, яка могла розкривати приблизне місцезнаходження користувачів.
Хоча жодна із цих програм не повідомляє про точне місцезнаходження під час відображення відстані між користувачами у своїх профілях, вони використовували точні місцезнаходження для функції фільтрів програм.
Власне кажучи, за допомогою фільтрів користувачі можуть адаптувати свій пошук партнера на основі таких критеріїв, як вік, зріст, тип стосунків, які вони шукають, і, що важливо, відстань.
Щоб визначити точне місцезнаходження цільового користувача, дослідники використали нову техніку, яку вони називають трилатерацією оракула.
Трилатерація, яка зокрема використовується в GPS, працює за допомогою використання трьох точок і вимірювання їхньої відстані відносно цілі. Це створює три кола, які перетинаються у точці, де перебуває ціль.
Трилатерація Oracle працює дещо інакше. Дослідники пишуть, що перший крок для злочинців — це визначити місцезнаходження цілі. Наприклад, на основі місцезнаходження, відображеного у її профілі.
Потім зловмисник рухається поетапно, поки Oracle не вкаже, що жертва більше не перебуває поблизу. І це — для трьох різних напрямків.
У такому випадку зловмисник має три позиції з відомою точною відстанню, тобто попередньо вибраною відстанню близькості, і може трилатерувати жертву.
«Було дещо дивно, що відомі проблеми все ще присутні в цих популярних програмах. Хоча ця техніка не дозволяє визначити точні GPS-координати жертви, я б сказав, що 2 метрів достатньо, щоб точно визначити користувача», — зауважив Карел Дондт, один із дослідників.
Хороша новина полягає в тому, що всі застосунки, які мали ці проблеми та до яких звернулися дослідники, тепер змінили роботу фільтрів відстані та не вразливі до техніки трилатерації Oracle.
За словами фахівців, виправлення полягало в тому, щоб округлити точні координати до трьох знаків після коми, що зробило їх менш точними.
«Це приблизно 1 кілометр», — сказав Дондт.
Віцепрезидент Bumble із глобальних комунікацій Габріель Феррі повідомила, що компанія знала про ці висновки ще на початку 2023 року і швидко усунула описані проблеми.
Дмитро Кононов, технічний директор і співзасновник Hily, зазначив, що компанія отримала звіт про вразливість у травні 2023 року, а потім провела розслідування, щоб провести власну перевірку.
«Висновки показали потенційну можливість трилатерації. Однак на практиці використовувати це для атак було неможливо. Це пов’язано з нашими внутрішніми механізмами захисту від спамерів і логікою нашого пошукового алгоритму. Незважаючи на це, ми провели консультації з авторами звіту і спільно розробили нові алгоритми геокодування, щоб повністю усунути вказаний тип атак. Нові алгоритми успішно впроваджуються вже більше року», — йдеться у повідомленні.
Ані Badoo, який належить Bumble, ані Hinge не відповіли на запит про коментар.
Генеральний директор і президент Happn Каріма Бен Абдельмалек повідомила, що минулого року дослідники зв’язалися і з її компанією.
«Після того, як наш головний спеціаліст із безпеки ознайомився з результатами дослідження, ми мали змогу обговорити з ними метод трилатерації. Однак у Нappn є додатковий рівень захисту. Цього не було враховано у їхньому аналізі, тож ми взаємно погодилися, що додатковий захист на Нappn робить техніку трилатерації неефективною», — зазначила посадовиця.
Також дослідники виявили, що зловмисники можуть знайти користувачів Grindr, іншого популярного застосунку для знайомств, на відстані приблизно 111 метрів від їхніх точних координат.
Хоча це краще, аніж 2 метри, дозволені іншими застосунками, але все одно може бути потенційно небезпечним.
«Як і у випадку із багатьма соціальними мережами та застосунками для знайомств, які базуються на геоданих, Grindr вимагає певної інформації про місцезнаходження, щоб з’єднати своїх користувачів із тими, хто перебуває поблизу. Користувачі Grindr контролюють, яку інформацію про місцезнаходження вони надають», — йдеться у повідомленні.
Інші застосунки для знайомств вжили додаткових заходів, щоб гарантувати, що їхні користувачі спілкуються із реальними людьми, а не зі спам-ботами або фальшивими обліковими записами.
У лютому Tinder почав вимагати від користувачів у США, Великій Британії, Бразилії та Мексиці завантажувати копію офіційних водійських прав або паспорта разом із відеоселфі в межах нової удосконаленої системи перевірки особи.
Нагадаємо, нещодавно виробник застосунків для знайомств Bumble придбав онлайн-платформу для створення груп і клубів Geneva.
Читайте також на ProIT: Якщо не можете знайти нову роботу, то варто спробувати Tinder.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!