Tyrėjai teigia, kad „Bumble“ ir „Hinge“ leido persekiotojams tiksliai nustatyti naudotojų buvimo vietą iki 2 metrų gylio
Grupė tyrėjų teigė aptikę, kad kai kurių pažinčių programų, įskaitant populiariąją „Bumble and Hinge“, dizaino pažeidžiamumas leido piktybiniams vartotojams ar persekiotojams tiksliai nustatyti savo aukų vietą iki 2 metrų.
Naujame akademiniame darbe Belgijos universiteto KU Leuven mokslininkai išsamiai apibūdino savo išvadas, kai išanalizavo 15 populiarių pažinčių programų. Pasak tyrėjų, „Badoo“, „Bumble“, „Grindr“, „happn“, „Hinge“ ir „Hily“ turėjo tą patį pažeidžiamumą, kuris galėjo padėti kenkėjiškam vartotojui nustatyti beveik tikslią kito vartotojo vietą.
Nors nė viena iš šių programų nesidalija tikslia vieta, kai profiliuose rodomas atstumas tarp vartotojų, jos naudojo tikslias vietas programų „filtrų“ funkcijai. Paprastai tariant, naudodami filtrus, vartotojai gali pritaikyti savo partnerio paiešką pagal tokius kriterijus kaip amžius, ūgis, kokio tipo santykiai jie ieško ir, svarbiausia, atstumas.
Norėdami nustatyti tikslią tikslinio vartotojo vietą, mokslininkai naudojo naują techniką, kurią jie vadina „orakulo trilateracija“. Apskritai, trilateracija, kuri, pavyzdžiui, naudojama GPS, veikia naudojant tris taškus ir matuojant jų atstumą, palyginti su taikiniu. Taip sukuriami trys apskritimai, kurie susikerta toje vietoje, kur yra taikinys.
„Oracle“ trilateracija veikia šiek tiek kitaip. Tyrėjai savo darbe rašė, kad pirmasis žingsnis asmeniui, kuris nori nustatyti savo taikinio vietą, „apytiksliai įvertina aukos vietą“, pavyzdžiui, pagal vietą, rodomą tikslo profilyje. Tada užpuolikas juda žingsniais, „kol orakulas parodys, kad aukos nebėra arti, ir tai trimis skirtingomis kryptimis. Užpuolikas dabar turi tris pozicijas, kurių tikslus atstumas yra žinomas, ty iš anksto pasirinktas artumo atstumas, ir jis gali trišaliai sulaikyti auką“, – rašė tyrėjai.
„Nuostabu, kad šiose populiariose programose vis dar yra žinomų problemų“, – „TechCrunch“ sakė vienas iš tyrėjų Karelis Dhondtas. Nors ši technika neatskleidžia tikslių aukos GPS koordinačių, „sakyčiau, kad 2 metrai yra pakankamai arti, kad būtų galima tiksliai nustatyti naudotoją“, – sakė Dhondtas.
Geros naujienos yra tai, kad visos programos, kurios turėjo šias problemas ir su kuriomis susisiekė tyrėjai, dabar pakeitė atstumo filtrų veikimą ir nėra pažeidžiamos orakulų trilateracijos technikos. Anot tyrėjų, tikslios koordinatės buvo suapvalintos trimis skaitmenimis po kablelio, kad jos būtų mažiau tikslios ir tikslios.
„Tai yra maždaug vieno kilometro neapibrėžtumas“, – sakė Dhondtas.
„Bumble“ atstovas spaudai sakė, kad bendrovė „buvo informuota apie šias išvadas 2023 m. pradžioje ir greitai išsprendė nurodytas problemas“.
Dmytro Kononovas, CTO ir „Hily“ vienas iš įkūrėjų, „TechCrunch“ pranešime sakė, kad bendrovė gavo pranešimą apie pažeidžiamumą 2023 m. gegužės mėn., o tada atliko tyrimą, kad įvertintų tyrėjų teiginius.
„Išvados parodė galimą trišališkumo galimybę. Tačiau praktiškai to išnaudoti atakoms buvo neįmanoma. Taip yra dėl mūsų vidinių mechanizmų, skirtų apsaugoti nuo šiukšlių siuntėjų, ir mūsų paieškos algoritmo logikos“, – sakė Kononovas. „Nepaisant to, mes plačiai konsultavomės su ataskaitos autoriais ir kartu sukūrėme naujus geokodavimo algoritmus, kad visiškai pašalintume tokio tipo atakas. Šie nauji algoritmai sėkmingai įgyvendinti jau daugiau nei metus.
Nei „Badoo“, kuri priklauso „Bumble“, nei „Hinge“ neatsakė į prašymą pakomentuoti.
„Happn“ generalinis direktorius ir prezidentas Karima Ben Abdelmalek elektroniniu paštu „TechCrunch“ sakė, kad praėjusiais metais mokslininkai susisiekė su įmone.
„Mūsų vyriausiajam saugumo pareigūnui peržiūrėjus tyrimo rezultatus, turėjome galimybę su tyrėjais aptarti trilateracijos metodą. Tačiau „happn“ turi papildomą apsaugos sluoksnį, ne tik apvalinant atstumus“, – sakė Benas Abdelmalekas. „Jų analizėje nebuvo atsižvelgta į šią papildomą apsaugą ir mes abipusiai sutarėme, kad ši papildoma priemonė „happn“ daro trilateracijos techniką neveiksmingą.
Tyrėjai taip pat nustatė, kad piktavalis asmuo gali aptikti kitos populiarios pažinčių programos „Grindr“ naudotojus maždaug 111 metrų atstumu nuo jų tikslių koordinačių. Nors tai yra geriau nei 2 metrai, kuriuos leido kitos programos, tai vis tiek gali būti potencialiai pavojinga, teigia mokslininkai.
„Mes teigiame, kad 111 metrų, o tai yra atitinkamas atstumas, kuris eina tokiu tikslumu, tankiai retai apgyvendintose vietovėse nepakanka“, – sakė Dhondtas.
„Grindr“ neleidžia pasiekti žemiau 111 metrų, nes tiksli naudotojų vieta apvalinama trimis skaičiais po kablelio. Ir kai jie susisiekė su „Grindr“, bendrovė pasakė, kad tai yra savybė, o ne klaida, pasak tyrėjų.
Kelly Peterson Miranda, „Grindr“ vyriausioji privatumo pareigūnė, pareiškime teigė, kad „daugeliui mūsų vartotojų Grindr yra vienintelė ryšio su LGBTQ+ bendruomene forma, o „Grindr“ siūlomas artumas šiai bendruomenei yra svarbiausias dalykas, suteikiantis galimybę bendrauti. su artimiausiais žmonėmis“.
„Kaip ir daugelyje vietomis pagrįstų socialinių tinklų ir pažinčių programų, „Grindr“ reikalauja tam tikros vietos informacijos, kad galėtų sujungti savo vartotojus su netoliese esančiais asmenimis“, – sakė Miranda ir pridūrė, kad vartotojai gali išjungti savo atstumo rodymą, jei nori. „Grindr vartotojai gali valdyti, kokią vietos informaciją jie pateikia.