Bumble和Hinge允许跟踪者将用户位置精确定位到2米,研究人员称

一组研究人员表示,他们发现一些约会应用的设计漏洞,包括流行的Bumble和Hinge,允许恶意用户或跟踪者将受害者的位置精确定位到2米。

在一篇新的学术论文中,比利时鲁汶大学(KU Leuven)的研究人员详细介绍了他们分析了15个流行约会应用时的发现。其中,Badoo、Bumble、Grindr、happy、Hinge和Hily都存在相同的漏洞,可能帮助恶意用户识别另一个用户的位置。

虽然这些应用在显示用户间距离时没有共享精确位置,但它们在“筛选”功能上使用了精确位置。通常情况下,用户可以根据年龄、身高、他们寻找的关系类型以及关键是距离等标准来调整寻找伴侣的搜索。

为了确定目标用户的确切位置,研究人员使用了他们称之为“甲骨文三边”技术。总的来说,三角定位在GPS等位置中使用,通过使用三个点并测量它们相对于目标的距离。这样就创建了三个圆,这些圆在目标所在点相交。

甲骨文三边工作方式略有不同。研究人员在论文中写道,想要识别目标位置的人的第一步“粗略估计受害者的位置”,例如基于目标文件中显示的位置。然后,攻击者按增量移动“直到甲骨文表明受害者不再处于附近,并且在三个不同方向进行操作。攻击者现在有了三个具有已知准确距离的位置,即预选的接近距离,并可以对受害者进行三边定位。

研究人员Karel Dhondt表示:“这些流行应用中仍然存在已知问题有些令人惊讶。”尽管这种技术并未透露受害者的确切GPS坐标,“我认为2米足以精确定位用户。”

好消息是,所有存在这些问题的应用,研究人员联系到的,都已经改变了距离筛选的工作方式,并不容易受到甲骨文三边技术的攻击。根据研究人员的说法,解决方案是将精确坐标四舍五入三位小数,使其不太精确和准确。

“这大约是一公里的不确定性,”Dhondt说。

Bumble的一位发言人表示,公司在2023年早期得知了这些发现,并迅速解决了所述的问题。

Hily的CTO兼联合创始人Dmytro Kononov在一份声明中告诉TechCrunch,公司于去年五月收到了有关此漏洞的报告,然后进行了调查,以评估研究人员的主张。

“发现表明了甲骨文的潜在可能性。然而,在实践中,利用这一点进行攻击是不可能的。这是由于我们的内部机制旨在防范垃圾邮件和搜索算法的逻辑,”Kononov说。“尽管如此,我们与报告作者进行了广泛协商,并共同开发了新的地理编码算法,以完全消除这种攻击。这些新算法现在已经成功实施了一年多。

Badoo未回应评论请求,该公司由Bumble拥有,Hinge亦然。

Happn首席执行官兼总裁Karima Ben Abdelmalek在一封电子邮件声明中告诉TechCrunch,公司去年受到研究人员的联系。

“在我们的首席安全官审查了研究发现后,我们有机会与研究人员讨论三角定位方法。然而,happn除了四舍五入距离以外,还有额外的保护层。”Ben Abdelmalek说。“研究人员没有考虑这种额外保护措施在内的分析,我们一致同意,happn的这种额外措施使三角定位技术失效。”

研究人员还发现,恶意人士可以将另一个流行的约会应用Grindr的用户定位到其精确坐标周围约111米。虽然这比其他应用允许的2米要好,但根据研究人员称,仍可能具有潜在危险。

“我们认为,这种精度对应的距离111米,在人口稠密或稀疏的区域是不够的,”Dhondt说。

Grindr不允许低于111米,因为它通过四舍五入用户的精确位置来确定位置是一个功能,而不是一个bug,根据研究人员的说法。

Grindr的首席隐私官Kelly Peterson Miranda在一份声明中表示,“对于我们的许多用户来说,Grindr是他们与LGBTQ+社区联系的唯一方式,Grindr提供的接近度对他们提供与他们最亲近的人互动的能力至关重要。”

“正如许多基于位置的社交网络和约会应用一样,Grindr需要一定的位置信息才能将用户与附近人连接起来。”Miranda表示,用户可以选择禁用显示他们的距离。“Grindr用户控制他们提供的位置信息。”