گروهی از محققان گفتند که آنها متوجه شده‌اند که آسیب‌پذیری‌ها در طراحی برخی از برنامه‌های دوستیابی، از جمله Bumble و Hinge محبوب، به کاربران یا استالکرهای مخرب اجازه می‌دهد تا مکان قربانیان خود را تا ۲ متر مشخص کنند.

در یک مقاله آکادمیک جدید، محققان دانشگاه بلژیکی KU Leuven یافته‌های خود را هنگام تجزیه و تحلیل 15 برنامه محبوب دوست‌یابی به تفصیل شرح دادند. به گفته محققان، از میان آن‌ها، Badoo، Bumble، Grindr، happn، Hinge و Hily همگی آسیب‌پذیری مشابهی داشتند که می‌توانست به کاربر مخرب کمک کند تا مکان تقریباً دقیق کاربر دیگری را شناسایی کند.

در حالی که هیچ یک از این برنامه‌ها مکان‌های دقیقی را هنگام نمایش فاصله بین کاربران در نمایه‌هایشان به اشتراک نمی‌گذارند، اما از مکان‌های دقیق برای ویژگی «فیلتر» برنامه‌ها استفاده می‌کنند. به طور کلی، با استفاده از فیلترها، کاربران می توانند جستجوی خود را برای شریک زندگی بر اساس معیارهایی مانند سن، قد، نوع رابطه ای که به دنبال آن هستند و مهمتر از همه، فاصله تنظیم کنند.

برای مشخص کردن مکان دقیق یک کاربر هدف، محققان از تکنیک جدیدی استفاده کردند که آن را «سه‌لایه‌بندی اوراکل» می‌نامند. به طور کلی، trilateration که به عنوان مثال در GPS استفاده می شود، با استفاده از سه نقطه و اندازه گیری فاصله آنها نسبت به هدف کار می کند. این سه دایره ایجاد می کند که در نقطه ای که هدف قرار دارد قطع می شود.

Trilateration Oracle کمی متفاوت عمل می کند. محققان در مقاله خود نوشتند که اولین گام برای شخصی که می خواهد مکان هدف خود را شناسایی کند، برای مثال، بر اساس مکان نمایش داده شده در نمایه هدف، «تقریباً مکان قربانی را تخمین می زند». سپس، مهاجم با افزایش حرکت می کند «تا زمانی که اوراکل نشان دهد که قربانی دیگر در نزدیکی نیست، و این برای سه جهت مختلف. محققین نوشتند که مهاجم اکنون سه موقعیت با فاصله دقیق مشخص دارد، یعنی فاصله نزدیکی از پیش انتخاب شده، و می تواند قربانی را سه ضلعی کند.

Karel Dhondt، یکی از محققان، به TechCrunch گفت: «تا حدودی تعجب آور بود که مسائل شناخته شده هنوز در این برنامه های محبوب وجود دارد. در حالی که این تکنیک مختصات GPS دقیق قربانی را نشان نمی دهد، "من می گویم 2 متر به اندازه کافی برای مشخص کردن کاربر نزدیک است. "

خبر خوب این است که همه برنامه‌هایی که این مشکلات را داشتند و محققان به آنها دسترسی پیدا کردند، اکنون نحوه عملکرد فیلترهای فاصله را تغییر داده‌اند و در برابر تکنیک سه لایه‌بندی اوراکل آسیب‌پذیر نیستند. به گفته محققان، راه حل این بود که مختصات دقیق را با سه اعشار جمع کنیم تا دقیق و دقیق تر شوند.

دهنت گفت: «این تقریباً یک عدم قطعیت یک کیلومتری است.

یکی از سخنگویان بامبل بيان کرد که این شرکت "در اوایل سال 2023 از این یافته ها آگاه شد و به سرعت مشکلات ذکر شده را حل کرد. "

Dmytro Kononov، CTO و یکی از بنیانگذاران Hily، در بیانیه‌ای به TechCrunch بيان کرد که این شرکت گزارشی در مورد آسیب‌پذیری در می ۲۰۲۳ دریافت کرد و سپس تحقیقاتی را برای ارزیابی ادعاهای محققان انجام داد.

«یافته‌ها احتمال بالقوه سه‌لایه‌سازی را نشان می‌دهد. با این حال، در عمل، بهره برداری از این برای حملات غیرممکن بود. این به دلیل مکانیسم های داخلی ما است که برای محافظت در برابر هرزنامه ها و منطق الگوریتم جستجوی ما طراحی شده است. با وجود این، ما درگیر رایزنی‌های گسترده با نویسندگان گزارش شدیم و به طور مشترک الگوریتم‌های کدگذاری جغرافیایی جدیدی را برای حذف کامل این نوع حمله ایجاد کردیم. این الگوریتم های جدید بیش از یک سال است که با موفقیت پیاده سازی شده اند.

نه Badoo، که متعلق به Bumble است، و نه Hinge به درخواست برای اظهار نظر پاسخ ندادند.

کریما بن عبدالمالک، مدیرعامل و رئیس Happn در بیانیه ای ایمیلی به TechCrunch بيان کرد که سال گذشته محققان با این شرکت تماس گرفتند.

«پس از تحلیل یافته‌های تحقیق توسط افسر ارشد امنیتی، ما این فرصت را داشتیم تا روش سه‌لایه‌سازی را با محققان مورد بحث قرار دهیم. با این حال، happn دارای یک لایه حفاظتی اضافی فراتر از فواصل دور زدن است. ” بن عبدالمالک گفت. "این حفاظت اضافی در تجزیه و تحلیل آنها در نظر گرفته نشد و ما متقابلاً توافق کردیم که این اقدام اضافی در مورد happn باعث می شود تکنیک سه لایه بندی ناکارآمد باشد."

محققان همچنین دریافتند که یک فرد مخرب می تواند کاربران Grindr، یکی دیگر از برنامه های محبوب دوستیابی، را در حدود 111 متر از مختصات دقیق آنها قرار دهد. به گفته محققان، در حالی که این دو متر بهتر از 2 متری است که سایر برنامه ها اجازه می دادند، اما همچنان می تواند خطرناک باشد.

دهندت گفت: "ما استدلال می کنیم که 111 متر، که مسافت متناظر با این دقت است، در مناطق پرجمعیت کم کافی نیست."

Grindr رفتن به زیر 111 متر را غیرممکن می کند زیرا مکان دقیق کاربران را با سه اعشار گرد می کند. و هنگامی که آنها با Grindr تماس گرفتند، شرکت بيان کرد که به گفته محققان این یک ویژگی است، نه یک اشکال.

کلی پترسون میراندا، مدیر ارشد حریم خصوصی در Grindr، در بیانیه ای گفت: «برای بسیاری از کاربران ما، Grindr تنها شکل ارتباط آنها با جامعه LGBTQ+ است، و نزدیکی Grindr به این جامعه در ارائه توانایی تعامل بسیار مهم است. با نزدیکترین افراد.»

میراندا گفت: «همانطور که در مورد بسیاری از شبکه‌های اجتماعی مبتنی بر مکان و برنامه‌های دوستیابی وجود دارد، Grindr به اطلاعات موقعیت مکانی خاصی نیاز دارد تا کاربران خود را با افرادی که در نزدیکی هستند مرتبط کند. «کاربران Grindr کنترل اطلاعات مکانی را دارند که ارائه می‌کنند.»

خبرکاو