Ново проучване, публикувано от Университета на KU Leuven в Белгия, анализира 15 популярни приложения за запознанства, за да оцени рисковете от базирани на местоположение услуги за личните и чувствителните данни на потребителите.
Базираните на местоположение запознанства (LBD) имат за цел да улеснят намирането на партньори, като свързват хора в близост един до друг. Проучването „Плъзнете наляво за кражба на самоличност“ обаче идентифицира шест приложения за запознанства, които може да излагат потребителите на риск, като компрометират личната им информация. А в света на срещите безопасността е от първостепенно значение.
При оценката на преднамереното и непреднамереното споделяне изследователите установяват, че услугите, базирани на местоположението, „излагат големи количества лични данни на други потребители, което позволява извличането на чувствителни лични черти, тъй като приложенията изискват информация като възраст, сексуална ориентация и точно местоположение.“
Първият по рода си обширен анализ на поверителността на приложенията за запознанства
След като избира най-популярните приложения за запознанства, екипът на KU Leuven проведе това, което смятат за първия по рода си цялостен анализ на поверителността.
Първо, изследователите оценят колко лесно някой със злонамерени намерения може да създаде акаунт и да извлече потребителски данни. След това те измерват личните данни, споделени от тези приложения и накрая, проучват „как политиките за поверителност на тези приложения обсъждат събирането и потенциалното изтичане на лични данни“.
Това, което потребителите избират да споделят – тяхната възраст и сексуална ориентация – е един набор от данни, който са взели предвид. Непреднамереното споделяне обаче представлява „най-сериозните нарушения“, тъй като потребителите може да не знаят каква информация може да изтече в свят на запознанства, който цени избора, откритата комуникация и защитата.
По-конкретно шест приложения – Badoo, Grindr, happn, Bumble, Hinge и Hily – излагат потребителите на три форми на трилатерация, според Tech Crunch.
Тъмната страна на услугите за местоположение
Както съобщават, трилатерацията, техника, използвана от GPS, локализира потребител с помощта на триточкова система, като създава три кръга около тях.
„Точната трилатерация на разстоянието“, според Engadget, определя целта на „най-малко 111 м на 111 м квадрат (на екватора)“. „Трилатерация със закръглено разстояние“ предоставя приблизителна оценка, но могат да се използват вратички в системата. „Трилатерацията на Oracle“ използва оракул, който използва двоичен сигнал за намиране на приблизително местоположение.
Проучването обаче посочва, че атакуващият може да се движи и интерфейсът ще се актуализира съответно, позволявайки на някой със злонамерени намерения да определи местоположението на своята цел.
Както се съобщава от Engadget, Grindr е „податлив на точна трилатерация на разстояние“. Happn излага своите потребители на риска от „трилатерация със заоблено разстояние“, докато останалите четири, включително Bumble, биха попаднали в категорията „трилатерация на оракул“. Те обаче подчертават, че Hinge и Hily крият разстоянията на своите потребители.
Карел Дондт, един от изследователите, казва пред TechCrunch: „Беше донякъде изненадващо, че известни проблеми все още присъстват в тези популярни приложения.“
Приложенията за запознанства реагират незабавно, за да решат проблема
Няколко приложения за запознанства публично отговарят на въпросите около техните политики за защита.
„Бяхме запознати с тези констатации в началото на 2023 г. и бързо разрешихме очертаните проблеми. Като глобален бизнес с членове в страни по целия свят, ние се ангажираме да защитаваме поверителността на нашите потребители и сме възприели глобален подход към спазването на поверителността“, казва говорител на Bumble пред Mashable.
Дмитро Кононов, технически директор и съосновател на Hily, признава, „Констатациите показват потенциална възможност за трилатерация. На практика обаче използването на това за атаки е невъзможно.“
Междувременно главният изпълнителен директор и президент на happn, Карима Бен Абделмалек, казва пред TechCrunch, че са прегледали констатациите. „Въпреки това, happn има допълнителен слой на защита отвъд просто закръглените разстояния… Тази допълнителна защита не е взета предвид в техния анализ и ние взаимно се съгласихме, че тази допълнителна мярка на happn прави техниката на трилатерация неефективна.“
Разследваните приложения за запознанства са предприели положителни действия и са коригирали своите филтри за разстояние, за да избегнат всякаква трилатерация, както съобщава TechCrunch.
Правилата за поверителност на тези приложения посочват какви данни обработват, а някои дори признават риска от изтичане, включително местоположения, но най-вече възлагат отговорността на потребителите. Въпреки това, в заключение, проучването отбелязва, че изследователите могат да извлекат множество профили и „постоянно да поискат профил на един потребител и лесно да създават акаунти“.
Дори в ерата на измамите това сериозно разследване е солидна превантивна мярка, която предполага, че приложенията трябва да намалят събирането на данни и да подобрят настройките си за поверителност.
Източник: InterestingEngineering
