Исследователи обнаружили уязвимость, позволявшую использовать метод «трилатерации» в популярных приложениях для знакомств, таких как Bumble, Hinge, Grindr, Happn, Badoo и Hily.
Команда из Университета KU Leuven в Бельгии использовала метод, называемый «оракульной трилатерацией», чтобы точно определить местоположение пользователя с точностью до двух метров. Это достигалось путем постепенного перемещения в трех разных направлениях от отображаемого местоположения профиля, пока профиль не выходил из диапазона, что позволяло выявить точное местоположение.
Трилатерация — это техника, используемая для определения точного местоположения с помощью трех точек и расчета пересечения для нахождения целевого местоположения.
Риски использования приложений для знакомств
Наличие конфиденциальной информации у потенциально вредоносных участников представляет угрозу для пользователей приложений на различных уровнях, поясняет исследователь Карел Дондт.
«Учитывая, что это связано с знакомствами, что касается эмоций и чувств людей, любые утечки приватной информации или опасности становятся особенно острыми», — говорит Дондт. «Если люди пострадали, они могут захотеть отомстить. Поэтому важно, чтобы конфиденциальность и безопасность людей тщательно защищались этими приложениями».
Исследователи также выявили утечки API (интерфейса программного приложения), которые могли раскрыть личные данные атакующему, особенно чувствительную информацию, такую как предпочтения пользователей. Все 15 изученных приложений имели какие-то утечки API.
Функция или баг?
Большинство изученных приложений закрыли эту уязвимость, округлив координаты до трех знаков после запятой, чтобы сделать их менее точными. Grindr позволил разделять местоположение в пределах до 111 метров и объяснил, что их практика обмена местоположением является преднамеренной.
«Для многих наших пользователей Grindr является единственной формой связи с ЛГБТК+ сообществом, и близость, которую предлагает Grindr, важна для взаимодействия с самыми близкими к ним людьми», — заявила Келли Петерсон Миранда, главный специалист по конфиденциальности Grindr.
Следует отметить, что в странах, где гомосексуальная деятельность является незаконной, эта практика может оказаться особенно серьезной. Grindr настаивает на том, что пользователи контролируют информацию о своем местоположении, которую они предоставляют.
Источник: TechCrunch
Источник: TechRadar
