Дозволяє визначати точне місцезнаходження користувачів: виявлено діру в конфіденційності додатків для знайомств
Група дослідників з бельгійського університету KU Leuven виявила шість популярних додатків для знайомств, які зловмисники можуть використовувати для визначення майже точного місцезнаходження інших користувачів. Про це повідомляє TechCrunch.
Останні новини: Microsoft проведе конференцію з безпеки після глобального збою CrowdStrike
Додатки для знайомств, включаючи Hinge, Happn, Bumble, Grindr, Badoo і Hily, демонструють певну форму «трилатерації», яка може розкрити приблизне місцезнаходження користувачів, що змусило деякі з них вжити заходів і посилити свою безпеку, йдеться в опублікованій статті.
Термін «трилатерація» означає триточкове вимірювання, яке використовується в GPS для визначення відносної відстані до цілі. Шість названих додатків підпадають під одну з трьох категорій трилатерації, включаючи “точну трилатерацію”, в якій ціль визначається з точністю до “щонайменше квадрата 111 на 111 метрів (на екваторі)”, “круглу трилатерацію” або “оракул-трилатерацію”, в якій фільтри відстані використовуються для апроксимації округлої області, подібно до діаграми Венна.
Grindr «схильний до точної трилатерації відстаней», тоді як Happn підпадає під «округлену трилатерацію відстаней». Решта чотири підпадають під «трилатерацію оракула», попри те, що Hinge і Hily приховують відстань між своїми користувачами, йдеться в статті.
Карел Дхондт, один з дослідників, які брали участь у дослідженні, розповів TechCrunch, що користувач зі зловмисними намірами може визначити місцезнаходження іншого користувача на відстані до «2 метрів», використовуючи трилатерацію оракула. Цей метод передбачає, що зловмисник визначає приблизне місцезнаходження жертви на основі її профілю і переміщується з кроком, поки жертва не опиниться поза зоною досяжності в трьох різних позиціях, а потім тріангулює дані в одну точку.
Віцепрезидент Bumble з глобальних комунікацій Габріель Феррі повідомила сайту, що вони «швидко розв’язати окреслені проблеми» з фільтром відстані минулого року. Співзасновник і технічний директор Hily Дмитро Кононов заявив, що розслідування виявило «потенційну можливість трилатерації», але «використання цього для атак було неможливим».
Головний виконавчий директор і президент Happn Каріма Бен Адельмалек розповів TechCrunch, що вони обговорювали трилатерацію з бельгійськими дослідниками. Він каже, що додатковий рівень захисту, призначений для запобігання трилатерації, «не був врахований в їхньому аналізі».
Директорка з питань конфіденційності Grindr Келлі Петерсон Міранда зазначила, що користувачі можуть відключити відображення відстані у своєму профілі. Вона також зазначила, що «користувачі Grindr контролюють, яку інформацію про місцезнаходження вони надають». Hinge не відповів на це коментарем.
Інші додатки для знайомств вжили додаткових заходів, щоб гарантувати, що їхні користувачі спілкуються з реальними людьми, а не зі спам-ботами чи фейковими акаунтами. У лютому Tinder почав вимагати від користувачів у США, Великій Британії, Бразилії та Мексиці завантажувати копію офіційного водійського посвідчення або паспорта разом із відео селфі в рамках нової вдосконаленої системи перевірки особи.
