Több népszerű randiapp is lehetővé tehette, hogy a zaklatók bemérjék az áldozatuk tartózkodási helyét
2024. július 31. – 11:32
Belga kutatók több népszerű randiapp, köztük a Bumble és a Hinge tervezésében is olyan hibákat fedeztek fel, amelyek lehetővé tették a zaklatók számára, hogy akár kétméteres pontossággal meghatározzák az áldozatuk aktuális tartózkodási helyét – írja a Techcrunch.com.
A leuveni egyetem kutatói által publikált tanulmányban 15 népszerű társkereső alkalmazást vizsgáltak, ezek közül a Badoo, a Bumble, a Grindr, a happn, a Hinge és a Hily esetében fedeztek fel olyan sebezhetőséget, amely a kutatók szerint segíthetett a rosszindulatú felhasználóknak abban, hogy egy másik felhasználó tartózkodási helyét azonosítsák.
Bár egyik alkalmazás sem adja meg a felhasználók pontos tartózkodási helyét, a felhasználók a szűrőkkel olyan kritériumok alapján szabhatják testre a partnerkeresést, mint a kor, a magasság, a keresett kapcsolat típusa és – ami döntő fontosságú – a távolság.
A célzott felhasználó pontos helyének meghatározásához a kutatók a GPS-ben is használt háromszögelést továbbfejlesztve egy újszerű technikát alkalmaztak. A háromszögelésnél három pontot használnak, megmérik a célponthoz viszonyított távolságukat, az így létrehozott három kört pedig a célpont helyén metszi egymást.
A kutatók ezt fejlesztették tovább. Először nagyjából megbecsülték az áldozat tartózkodási helyét a profiljában feltüntetett nyilvános adatok alapján, majd körözni kezdtek a közelében egészen addig, amíg a rendszer jelezte, hogy a célpont már nincs a közelükben – ezt mindhárom irányba megismételték. Így kaptak három pozíciót, amiknek a segítségével háromszögeléssel már viszonylagos pontossággal be tudták mérni a célpontot.
Ez ijesztően hangzik, jó hír lehet azonban, hogy mostanra az összes érintett alkalmazás, amelyekkel a kutatók felvették a kapcsolatot, megváltoztatta a távolságszűrők működését, a pontos koordinátákat három tizedesjegyre kerekítették fel, így azok kevésbé pontosak lettek. Most már csak nagyjából egy kilométeres pontossággal lehet megállapítani a felhasználók tartózkodási helyét, ami jóval kisebb veszélyfaktort jelent.
A Bumble szóvivője szerint a vállalat 2023 elején értesült a kutatók a megállapításairól, és gyorsan megoldotta a felvázolt problémákat. A Hily technológiai igazgatója és társalapítója a TechCrunchnak azt mondta, a vállalat tavaly májusban kapott egy jelentést a sebezhetőségről, amit ők is igazoltak, ugyanakkor hangsúlyozta, hogy ennek a kihasználása a gyakorlatban az alkalmazás spammerek elleni védelmi rendszere és a keresési algoritmus logikája miatt lehetetlen volt. Ennek ellenére a kutatókkal együttműködve ők is új geokódolási algoritmusokat fejlesztettek ki, hogy teljesen kikerüljék a problémát. A Happn szerint bár a probléma náluk is fennállt, a kutatók az elemzésükben nem vették figyelembe a platform egyéb védelmi beállításait, így végül a kutatókkal való konzultáció után abban maradtak, hogy nincs szükség változtatásra, az extra intézkedéseik ugyanis hatástalanították a hibát.
A kutatók szerint a Grindr valamivel jobban teljesített a többi randiappnál, esetében ugyanis csak 111 méteres pontossággal lehetett bemérni a célpontokat. Amikor megkeresték a problémával a Grindr-t, a kutatók szerint a cég azt mondta, ez egy funkció, nem pedig hiba. A vállalat adatvédelmi igazgatója a TechCrunchnak ezt azzal indokolta, hogy „sok felhasználó számára a Grindr az egyetlen kapcsolat az LMBTQ+-közösséggel, és a Grindr által kínált közelség a közösséghez kiemelkedő fontosságú, mivel lehetővé teszi, hogy kapcsolatba lépjenek a hozzájuk legközelebb állókkal”. Hozzátette, hogy a felhasználók letilthatják a távolságuk megjelenítését, ha akarják.
A Badoo, a Bumble és a Hinge nem válaszolt a lap megkeresésére.
A Grindr sebezhetőségéről korábban ebben a cikkben is írtunk. Mike Yeagley 2019-ben kezdte el győzködni az amerikai nemzetbiztonságot arról, hogy a kormányra komoly veszélyt jelent a Grindr, a célzott hirdetéseken keresztül ugyanis rettentően könnyen hozzá lehet férni az alkalmazás által rögzített, nagyon precíz geolokációs adatokhoz. Yeagley be is mutatta az illetékes szerveknek, hogy ezzel a módszerrel be tudta azonosítani az amerikai hírszerzés számos munkatársának napirendjét. Ez egyébként nem csak a Grindrrel működik, tulajdonképpen akármelyik alkalmazással meg lehet csinálni, ahol van helymeghatározás.