קרדיט: Accogliente Design / Shutterstock
אפליקציות היכרויותדורשים מהמשתמשים לחשוף מידע פגיע - ולא רק חלומות רומנטיים של מישהו. לרוב, אפליקציות אלה דורשות נתונים אישיים כמו שמך, גילך ומיקוםך. במקרה של האחרון, מאמר חדש מפרט שלמשך זמן מה, כמה אפליקציות גדולות השאירו את מיקומי המשתמשים שיכולים להיחשף על ידי יריבים פוטנציאליים.
פרצות מיקום של אפליקציית היכרויות
במאמר חדש של האוניברסיטה הבלגית KU Leuven, "החלק שמאלה לגניבת זהות," החוקרים מפרקים סיכוני פרטיות פוטנציאליים עבור 15 אפליקציות היכרויות מבוססות מיקום (LBDs) עם לפחות 10 מיליון הורדות. כיום, אפליקציות היכרויות מבוססות מיקום בדרך כלל על מנת לעזור למשתמשים למצוא התאמות קרובות פיזית אליהם. על ידי צורך במיקום עם זאת, זה פותח למשתמשים סיכונים פוטנציאליים.
כל האפליקציות מלבד אחת השתמשו במרחק בין משתמשים למדידת מיקום. (חריג זה, TanTan - אפליקציית היכרויות אסייתית - השתמשה בקואורדינטות מדויקות פעם אחת בנקודת ההתאמה, ורק אם הן תואמות.) "עם זאת, בהיעדר הגנות מספקות, הזמינות של מרחקים עדיין יכולה להוביל להסקת גישה של משתמש מיקום", נכתב בעיתון. "זה נעשה באמצעות טרילטרציה."
טרילטרציההוא תהליך קביעת המיקום על ידי מדידת מרחקים בין שלושה משולשים (אועיגולים או כדורים). ישנם סוגים שונים של אפליקציות טריlaterציה שמשתמשות בהן כדי לקבוע מיקום. המחברים - קארל דהונדט, ויקטור לה פוצ'ט, יאנה דימובה, ווטר יוזן וסטיין וולקארט - גילו שהם מסוגליםלאתר כמעט מיקום מדויק בשש מתוך 15 אפליקציות, כפי שדיווח TechCrunch.
לאילו אפליקציות היכרויות היו פרצות מיקום?
הפגיעות הנפוצה ביותר הייתה באמצעות "טרילטרציה של אורקל", שהעיתון מסביר, "יריבים משתמשים באוֹרַקְלשמציין באמצעות אות בינארי אם קורבן נמצא בקרבת מקום, כלומר, כאשר הוא נמצא ב"מרחק קרבה" מוגדר מהתוקף."
הינג', באמבל, באדו (שהיא בבעלות באמבל), והילי היו רגישים לטרילטרציה כזו.
דובר של ציר אמר ל- Mashable:
Mashable After Dark
ב-Hinge, הבטיחות והפרטיות של המשתמשים שלנו הם תמיד בראש סדר העדיפויות. האפליקציה שלנו בנויה בגישה של פרטיות לפי עיצוב ומגינה בקפדנות על נתוני משתמש רגישים. אנו גאים בתוכנית פרס הבאג המתקדמת שלנו ובדיאלוג המתמשך שלנו עם חוקרים, שנועדו למשוך הערות כדי שנוכל לבצע התאמות לפני שיקרה כל נזק למשתמשים שלנו. בדקנו את המשוב מצוות המחקר הזה כשקיבלנו אותו בתחילת 2023 ונקטנו מיד בפעולה במידת הצורך.
אדובר באמבל אמר לשניהם ל-TechCrunchומאשבל, "הודענו לממצאים אלה בתחילת 2023, ופתרנו במהירות את הבעיות המפורטות. כעסק גלובלי עם חברים במדינות בכל רחבי העולם, אנו מחויבים להגן על פרטיות המשתמשים שלנו ואימצנו גישה גלובלית לציות לפרטיות".
הצהרה זו חלה גם על Badoo, אמר באמבל ל-Mashable.
Dmytro Kononov, CTO ומייסד שותף של Hily, שיתף את ההצהרה הזו עם TechCrunch:
הממצאים הצביעו על אפשרות פוטנציאלית לטרילטציה. עם זאת, בפועל, ניצול זה למתקפות היה בלתי אפשרי. זה נובע מהמנגנונים הפנימיים שלנו שנועדו להגן מפני שולחי דואר זבל וההיגיון של אלגוריתם החיפוש שלנו...למרות זאת, עסקנו בהתייעצות מקיפה עם מחברי הדו"ח ופיתחנו בשיתוף אלגוריתמים חדשים של קידוד גיאוגרפי כדי לחסל לחלוטין סוג זה של התקפה. האלגוריתמים החדשים האלה מיושמים בהצלחה כבר יותר משנה.
גרינדר היה חשוף ל"תלת מרחק מדויקת". ניתן לעשות זאת כאשר שירותים חושפים מרחקים מדויקים למשתמשים אחרים. המחברים הצליחו להבין מיקומי משתמשים קרובים ל-111 מטר (בסביבות 364 רגל). שילוב מרחק מדויק היה אפשרי גם כשהמרחק היה נסתר, כמו במצרים, שם Grindr מסתיר את כל מיקומי המשתמש מטעמי בטיחות.
"הקרבה ש-Grindr מציעה לקהילה זו היא בעלת חשיבות עליונה במתן היכולת ליצור אינטראקציה עם הקרובים להם ביותר, אמרה קצינת הפרטיות הראשית של Grindr, קלי פיטרסון מירנדה, ל-TechCrunch. "כמו שקורה ברשתות חברתיות רבות מבוססות מיקום ואפליקציות היכרויות, Grindr דורשת מידע מיקום מסוים על מנת לחבר את המשתמשים שלו עם אלה בקרבת מקום... משתמשי Grindr שולטים באיזה מידע מיקום הם מספקים."
לבסוף, האפליקציה הייתה חשופה ל"תלת מרחק מעוגל", שניתן לעשות אם אפליקציה משתמשת במיקום מעוגל כאמצעי זהירות. המנכ"לית והנשיאה של happn, קארימה בן עבדמלק, אמרה ל-TechCrunch:
לאחר סקירת ממצאי המחקר על ידי קצין הביטחון הראשי שלנו, הייתה לנו הזדמנות לדון עם החוקרים בשיטת השילוש. עם זאת, ל-happn יש שכבת הגנה נוספת מעבר לעיגול מרחקים בלבד... הגנה נוספת זו לא נלקחה בחשבון בניתוח שלהם והסכמנו הדדית שהמדד הנוסף הזה ב-happn הופך את טכניקת הטריlaterציה ללא יעילה.
נראה שעבור אפליקציות עם נקודות תורפה אלו, האפליקציות נקטו באמצעים כדי למנוע משחקנים גרועים לקבוע את מיקום המשתמש באמצעות טריlaterציה, למעט Grindr.
אילו אפליקציות היכרויות לא היו פגיעות?
לפי העיתון, טינדר ו-LOVOO השתמשו ב"הצמדת רשת" כדי למנוע טרילטרציה.רשת ניתקתהיא טכניקה של חלוקת מיקומו לרשת של ריבועים. קואורדינטות (הידוע גם היכן המשתמשים נמצאים) מועברות למרכז הריבועים הללו (טינדר) או לצד ימין (LOVOO) ומשם מודדים את המרחק. לכן, המרחק האמיתי שלהם אינו מדויק ואינו יכול להיות משולש.
שפע של דגים ו-Metic לא ניגשים למיקומי GPS. בעוד MeetMe, Tagged ו-OkCupid אכן ניגשים למידע הזה, הם ממירים אותו לעיר הקרובה ביותר. המחברים לא יכלו להנדס לאחור את המידע שהם צריכים עבור TanTan ו-Jaumo, ולכן הם לא יכלו לבדוק שיטה זו כדי למצוא מיקומי משתמשים.
המאמר מראה את החשיבות של זהירות בעת שימוש באפליקציות היכרויות. כפי שמסכם המאמר, "אנו מקווים שהמודעות שאנו מביאים לנושאים אלו תוביל את ספקי אפליקציות LBD לשקול מחדש את שיטות איסוף הנתונים שלהם, להגן על ממשקי ה-API שלהם [ממשקי תכנות יישומים] מדליפות נתונים, למנוע הסקת מיקום, ולתת למשתמשים שליטה על הנתונים שלהם ולכן בסופו של דבר הפרטיות שלהם".
אנה איובין היא עורכת שותפה של תכונות ב-Mashable. בעבר, ככתבת מין ומערכות יחסים, היא סיקרה נושאים החל מאפליקציות היכרויות ועד כאבי אגן. לפני Mashable, אנה הייתה עורכת חברתית ב-VICE והייתה עצמאית עבור פרסומים כמו Slate ו-Columbia Journalism Review. עקבו אחריה ב-X@annaroseiovine.
ניוזלטרים אלה עשויים להכיל פרסומות, עסקאות או קישורי שותפים. בלחיצה על הירשם, אתה מאשר שאתה בן 16+ ומסכים לנותנאי שימושומדיניות פרטיות.
![פריצות לפרופיל Google+: משתמשים הופכים יצירתיים עם תמונות [PICS]](https://helios-i.mashable.com/imagery/archives/00UMlChB76CGhgUVOUfshoa/hero-image.fill.size_1200x675.v1647020100.jpg "פריצות לפרופיל Google+: משתמשים הופכים יצירתיים עם תמונות [PICS]")
