Приложения для знакомств сливают координаты пользователей с пугающей точностью.
Исследователи из Бельгии обнаружили, что множество приложений для знакомств могут угрожать конфиденциальности пользователей, распространяя их чувствительные данные и даже точное местоположение. Карел Дондт и Виктор Ле Почат из университета KU Leuven проанализировали 15 популярных приложений, включая Tinder, Bumble, Grindr, и пришли к неутешительным выводам.
Как выяснилось, все 15 приложений допускали утечку некоторую чувствительной информации, которая может быть использована злоумышленниками. В соответствии с GDPR, к такой информации относятся данные об этническом происхождении, политических взглядах, сексуальной ориентации и здоровье. Ле Почат подчеркнул, что для доступа к этим данным даже не требуется взлом серверов того или иного сервиса, достаточно лишь технической грамотности и мониторинга трафика.
Шесть приложений, среди которых Bumble, Grindr и Hinge, позволяли потенциальным злоумышленникам определить точное местоположение пользователей. Это достигалось через анализ расстояний, используемых для подбора партнёров.
Ранее Дондт и Ле Почат изучали утечки данных в фитнес-приложениях, таких как Strava, и даже представили свои находки на конференции Black Hat Asia в 2023 году, что собираются сделать и в этом году на конференции Black Hat USA 2024. Их новое исследование выросло из диссертации Дондта, посвящённой защите личных данных.
Одним из методов, использованных исследователями для определения местоположения пользователей через дэйтинг-сервисы, была трилатерация, аналогичная методу GPS. Она позволила точно определить координаты выбранного пользователя с помощью пересечения кругов, построенных по известным расстояниям.
В приложении Grindr исследователи выявили уязвимость, позволяющую определять местоположение пользователя с точностью до метра, даже если он скрывает информацию о расстоянии в своём профиле. Некоторые приложения использовали метод «округлённой трилатерации» или «оракул-трилатерации», что также позволяло злоумышленникам довольно точно определять местоположение. Например, приложения Badoo, Bumble и Hinge были подвержены этим уязвимостям.
Исследователи отметили, что утечка данных в приложениях для знакомств может представлять серьёзную угрозу безопасности пользователей, в том числе физической. Всё из-за интимного характера взаимодействий в подобных приложениях.
Анализируя трафик приложений, исследователи с удивлением обнаружили, что многие из них отправляют гораздо больше данных, чем отображается в графическом интерфейсе. Например, в Tinder можно скрыть свой пол, но в API эта информация всё равно передаётся.
Все компании, чьи приложения были уязвимы, были уведомлены исследователями, а большинство вышеописанных брешей, включая утечки местоположения, уже устранены. Тем не менее, некоторые компании посчитали, что подобные утечки не представляют большой угрозы и, в целом, являются изначально предусмотренным поведением их приложения.
Исследователи призывают пользователей быть осторожными с тем, какой информацией они делятся через приложения для знакомств. «Приложения побуждают делиться большим количеством информации для увеличения шансов на мэтч, однако то, чего они не знают, точно утечь не может», — справедливо отметил Дондт.
Данное исследование служит напоминанием о том, что в погоне за онлайн-коммуникацией и романтическими отношениями мы не должны забывать о цене, которую платим за кажущуюся лёгкость такого общения. Каждый пользователь должен осознавать ответственность за защиту своих личных данных и критически оценивать, какую информацию он готов доверить цифровому миру, а какую нет.
Гравитация научных фактов сильнее, чем вы думаете