Un grup de cercetători a descoperit că vulnerabilități în designul unor aplicații de întâlniri, inclusiv popularele Bumble și Hinge, permiteau utilizatorilor răuvoitori sau stalkerilor să localizeze victimele cu o precizie de până la 2 metri.
Într-un nou articol academic, cercetătorii de la universitatea belgiană KU Leuven au detaliat descoperirile lor după ce au analizat 15 aplicații populare de întâlniri. Dintre acestea, Badoo, Bumble, Grindr, happn, Hinge și Hily prezentau aceeași vulnerabilitate care ar fi putut ajuta un utilizator rău intenționat să identifice locația aproape exactă a altui utilizator, potrivit cercetătorilor.
Deși niciuna dintre aceste aplicații nu împărtășește locațiile exacte când afișează distanța dintre utilizatori pe profilurile lor, ele folosesc locații exacte pentru funcția de „filtre” a aplicațiilor. În general, folosind filtrele, utilizatorii pot personaliza căutarea unui partener pe baza unor criterii precum vârsta, înălțimea, tipul de relație căutat și, crucial, distanța.
Pentru a identifica locația exactă a unui utilizator țintă, cercetătorii au folosit o tehnică nouă pe care o numesc „trilaterație oraculară”. În general, trilaterația, care este utilizată, de exemplu, în GPS, funcționează prin utilizarea a trei puncte și măsurarea distanței lor în raport cu ținta. Aceasta creează trei cercuri care se intersectează în punctul unde se află ținta.
Trilaterația oraculară funcționează puțin diferit. Cercetătorii au scris în lucrarea lor că primul pas pentru persoana care dorește să identifice locația țintei „estimează aproximativ locația victimei”, de exemplu, pe baza locației afișate în profilul țintei. Apoi, atacatorul se deplasează în trepte „până când oracolul indică faptul că victima nu mai este în apropiere, și aceasta pentru trei direcții diferite. Atacatorul are acum trei poziții cu o distanță exactă cunoscută, adică distanța de proximitate preselectată, și poate trilatera victima,” au scris cercetătorii.

„A fost oarecum surprinzător că probleme cunoscute erau încă prezente în aceste aplicații populare,” a declarat Karel Dhondt, unul dintre cercetători, pentru TechCrunch. Deși această tehnică nu dezvăluie coordonatele GPS exacte ale victimei, „aș spune că 2 metri este suficient de aproape pentru a localiza utilizatorul,” a adăugat Dhondt.
Vestea bună este că toate aplicațiile care aveau aceste probleme și pe care cercetătorii le-au contactat au schimbat modul în care funcționează filtrele de distanță și nu mai sunt vulnerabile la tehnica trilaterației oraculare. Soluția, potrivit cercetătorilor, a fost să rotunjească coordonatele exacte cu trei zecimale, făcându-le mai puțin precise și exacte. „Aceasta este aproximativ o incertitudine de un kilometru,” a spus Dhondt.
Gabrielle Ferree, vicepreședinte de comunicare globală la Bumble, a declarat că compania a fost „informată despre aceste descoperiri la începutul anului 2023 și a rezolvat rapid problemele menționate.”
Dmytro Kononov, CTO și co-fondator al Hily, a declarat pentru TechCrunch într-un comunicat că compania a primit un raport despre vulnerabilitate în mai 2023 și apoi a efectuat o investigație pentru a evalua afirmațiile cercetătorilor.
„Constatările au indicat o posibilitate potențială pentru trilaterație. Cu toate acestea, în practică, exploatarea acestui lucru pentru atacuri era imposibilă. Acest lucru se datorează mecanismelor noastre interne concepute pentru a proteja împotriva spammerilor și logicii algoritmului nostru de căutare,” a spus Kononov. „În ciuda acestui fapt, am desfășurat consultări extinse cu autorii raportului și am dezvoltat împreună noi algoritmi de geocodare pentru a elimina complet acest tip de atac. Acești noi algoritmi sunt implementați cu succes de peste un an.”
Nici Badoo, deținut de Bumble, și nici Hinge nu au răspuns solicitării de comentarii.
Karima Ben Abdelmalek, CEO și președinte al Happn, a declarat pentru TechCrunch într-un e-mail că compania a fost contactată de cercetători anul trecut.
„După revizuirea de către șeful nostru de securitate a constatărilor cercetării, am avut ocazia să discutăm metoda trilaterației cu cercetătorii. Cu toate acestea, happn are un strat suplimentar de protecție dincolo de simpla rotunjire a distanțelor,” a spus Ben Abdelmalek. „Această protecție suplimentară nu a fost luată în considerare în analiza lor și am convenit de comun acord că această măsură suplimentară de la happn face ca tehnica trilaterației să fie ineficientă.”
Cercetătorii au mai descoperit că o persoană rău intenționată ar putea localiza utilizatorii Grindr, o altă aplicație populară de întâlniri, la aproximativ 111 metri de coordonatele lor exacte. Deși aceasta este mai bine decât cei 2 metri permiși de celelalte aplicații, ar putea fi totuși potențial periculoasă, potrivit cercetătorilor.
„Argumentăm că 111 metri, care este distanța corespunzătoare pentru această precizie, nu este suficientă în zone dens populate,” a spus Dhondt.
Grindr face imposibilă coborârea sub 111 metri deoarece rotunjește locațiile precise ale utilizatorilor cu trei zecimale. Iar când au contactat Grindr, compania a spus că aceasta era o caracteristică, nu un bug, potrivit cercetătorilor.
Kelly Peterson Miranda, șefa departamentului de confidențialitate la Grindr, a declarat într-un comunicat că „pentru mulți dintre utilizatorii noștri, Grindr este singura formă de conexiune cu comunitatea LGBTQ+ și proximitatea pe care o oferă Grindr acestei comunități este esențială pentru a oferi posibilitatea de a interacționa cu cei mai apropiați dintre ei.”
„Așa cum este cazul multor rețele sociale și aplicații de întâlniri bazate pe locație, Grindr necesită anumite informații de locație pentru a-și conecta utilizatorii cu cei din apropiere,” a spus Miranda, adăugând că utilizatorii pot dezactiva afișarea distanței dacă doresc. „Utilizatorii Grindr controlează ce informații de locație oferă.”