Sebuah kumpulan penyelidik mengatakan bahawa mereka telah menemui kelemahan dalam reka bentuk beberapa aplikasi kencan, termasuk Bumble dan Hinge yang popular, yang membolehkan pengguna jahat atau pengintip menentukan lokasi mangsanya sehingga ke 2 meter.

Dalam kertas akademik baru, penyelidik dari universiti Belgia KU Leuven merincikan penemuan mereka apabila mereka menganalisis 15 aplikasi kencan popular. Daripada aplikasi-aplikasi itu, Badoo, Bumble, Grindr, happn, Hinge dan Hily semuanya mempunyai kelemahan yang sama yang boleh membantu pengguna jahat mengenal pasti lokasi hampir tepat pengguna lain, menurut penyelidik.

Walaupun kedua-dua aplikasi itu tidak berkongsi lokasi yang tepat apabila menunjukkan jarak di antara pengguna dalam profil mereka, mereka menggunakan lokasi yang tepat untuk ciri ‘penapis’ aplikasi itu. Secara umumnya, dengan menggunakan penapis, pengguna boleh merancang carian pasangan berdasarkan kriteria seperti umur, ketinggian, jenis hubungan yang mereka cari, dan, yang penting, jarak.

Untuk menentukan lokasi tepat pengguna sasaran, penyelidik menggunakan teknik baru yang mereka sebut sebagai “trilateration orakel”. Amnya, trilateration, yang digunakan misalnya dalam GPS, berfungsi dengan menggunakan tiga titik dan mengukur jarak mereka berbanding dengan sasaran. Ini mencipta tiga bulatan yang berpotongan di titik di mana sasaran berada.

Trilaterasi orakel berfungsi dengan sedikit berbeza. Penyelidik menulis dalam kertas mereka bahawa langkah pertama untuk individu yang ingin mengenalpasti lokasi mangsa mereka “memberi anggaran kasar kepada lokasi mangsa,” misalnya berdasarkan lokasi yang dipaparkan dalam profil mangsa. Kemudian, penyerang bergerak secara beransur-ansur “hingga orakel menunjukkan bahawa mangsa tidak lagi berada dalam jarak berdekatan, dan ini untuk tiga hala yang berbeza. Penyerang kini mempunyai tiga posisi dengan jarak yang tepat yang diketahui, iaitu jarak kedekatan yang dipilih, dan boleh trilaterate mangsa,” tulis penyelidik.

“Adalah agak mengejutkan apabila isu-isu yang diketahui masih wujud dalam aplikasi popular ini,” kata Karel Dhondt, salah seorang penyelidik, kepada TechCrunch. Walaupun teknik ini tidak mendedahkan koordinat GPS tepat mangsa, “saya katakan 2 meter sudah cukup dekat untuk menunjukkan pengguna,” kata Dhondt.

Berita baiknya ialah semua aplikasi yang mempunyai masalah ini, dan yang disusuli oleh penyelidik, kini telah mengubah cara penapisan jarak berfungsi dan tidak lagi terdedah kepada teknik trilaterasi orakel. Penyelesaian, menurut penyelidik, adalah dengan membulatkan koordinat tepat dengan tiga titik perpuluhan, menjadikannya kurang tepat dan tepat.

“Ini kira-kira ketidakpastian satu kilometer,” kata Dhondt.

Seorang jurucakap Bumble mengatakan bahawa syarikat itu “diberitahu tentang penemuan ini pada awal 2023 dan dengan segera menyelesaikan isu yang dinyatakan.”

Dmytro Kononov, Ketua Pegawai Teknologi dan seorang pengasas Hily, memberitahu TechCrunch dalam kenyataan bahawa syarikat menerima laporan tentang kelemahan itu pada Mei tahun lalu, dan kemudiannya menjalankan siasatan untuk menilai tuntutan para penyelidik.

“Penemuan menunjukkan kemungkinan terdapat trilaterasi. Walau bagaimanapun, dalam praktiknya, mengeksploitasi ini untuk serangan adalah mustahil. Ini disebabkan oleh mekanisme dalaman kami yang direka untuk melindungi daripada spammer dan logik algoritma carian kami,” kata Kononov. “Walaupun begitu, kami terlibat dalam perundingan yang meluas dengan penulis laporan dan bersama-sama membangunkan algoritma geokod baru untuk menghapuskan sepenuhnya jenis serangan ini. Algoritma baru ini telah berjaya dilaksanakan selama lebih dari setahun sekarang.

Baik Badoo, yang dimiliki oleh Bumble, mahupun Hinge tidak memberikan sebarang respons terhadap permintaan komen.

CEO dan Presiden Happn, Karima Ben Abdelmalek memberitahu TechCrunch dalam kenyataan melalui emel bahawa syarikat itu telah dihubungi oleh penyelidik tahun lalu. “Selepas ulasan oleh Ketua Pegawai Keselamatan kami tentang penemuan penyelidikan, kami berpeluang untuk membincangkan kaedah trilaterasi dengan penyelidik. Walau bagaimanapun, happn mempunyai lapisan perlindungan tambahan selain daripada hanya membulatkan jarak,” kata Ben Abdelmalek. “Perlindungan tambahan ini tidak diambil kira dalam analisis mereka dan kita bersetuju secara bersama bahawa langkah tambahan di happn menjadikan teknik trilaterasi tidak efektif.”

Penyelidik juga mendapati bahawa individu jahat dapat menentukan lokasi pengguna Grindr, aplikasi kencan yang lain popular, agar kira-kira 111 meter dari koordinat tepat mereka. Walaupun ini lebih baik daripada 2 meter yang dibenarkan aplikasi lain, ia masih boleh menjadi berpotensi berbahaya, menurut penyelidik.

“Kami berpendapat bahawa 111 meter, yang merupakan jarak yang berkaitan dengan ketepatan ini, tidak mencukupi di kawasan padat penduduk jarang,” kata Dhondt.

Grindr menjadikan mustahil untuk pergi di bawah 111 meter kerana ia membulatkan lokasi tepat pengguna dengan tiga titik perpuluhan. Dan apabila mereka menghubungi Grindr, syarikat itu berkata bahawa ini adalah ciri, bukan ralat, menurut penyelidik.

Kelly Peterson Miranda, Ketua Pegawai Privasi di Grindr, berkata dalam kenyataan bahawa “bagi ramai pengguna kami, Grindr adalah satu-satunya cara untuk menghubungkan dengan komuniti LGBTQ+ dan kedekatan Grindr kepada komuniti ini adalah sangat penting untuk menyediakan keupayaan untuk berinteraksi dengan yang terdekat dengan mereka.”

“Seperti kebanyakan rangkaian sosial berasaskan lokasi dan aplikasi kencan, Grindr memerlukan maklumat lokasi tertentu untuk menyambungkan pengguna-pengguna dengan yang berdekatan,” kata Miranda, menambah bahawa pengguna boleh melumpuhkan jarak mereka untuk dipaparkan jika mereka mahu. “Pengguna Grindr mengawal maklumat lokasi yang mereka berikan.”



Source link

Leave a Reply