L'attacco è rudimentale e difficile, ma potrebbe essere utilizzato dagli stalker sulle app di appuntamenti (Immagine: Priscilla Du Preez / Unsplash)
Scopri di più su Bumble su il nostro canale WhatsApp
Uno studio su 15 app di appuntamenti ha rivelato che Bumble, Grindr, Happn, Badoo, Hinge e Hily avevano un problema di privacy durante il loro funzionamento. A causa di questa vulnerabilità, è stato possibile stimare la posizione di un utente. In alcune di queste app, la precisione potrebbe raggiungere solo 2 m.
Il lavoro è stato svolto da ricercatori di sicurezza informatica dell’Università Cattolica di Leuven, in Belgio. Hanno analizzato la posizione e le funzionalità di privacy delle app di appuntamenti. Con loro, un utente può stimare la distanza da un determinato profilo.
Bumble ha apportato modifiche dopo essere stato informato del problema (Immagine: Good Faces Agency / Unsplash)
Gli scienziati hanno preso in considerazione una tecnica che chiamano “trilaterazione oracolare”. Trilaterazione è il nome dato alla tecnica di stima della posizione di un punto, utilizzando come base le sue distanze da altri tre punti noti. Il GPS, ad esempio, utilizza questa tecnica.
La trilaterazione oracolare prende questo come base, ma con una pratica molto meno raffinata, che implica tentativi ed errori. Diciamo che l'obiettivo è a 5 km di distanza. L'attaccante potrebbe muoversi poco a poco finché questo numero non cambia. Facendo ciò in tre direzioni diverse, sarebbe possibile dedurre la posizione di questa persona, poiché ci sarebbero tre punti con una distanza nota.
Karel Dhondt, uno dei ricercatori, afferma che con questo metodo sarebbe possibile stimare una precisione fino a 2 m, purché si sappia come la piattaforma gira le posizioni.
Secondo lo studio sei app presentavano problemi.
- Badoo, Bumble, Hinge e Hily erano soggetti alla trilaterazione oracolare.
- Grindr era suscettibile di una trilaterazione esatta con una precisione di 111 m.
- In Happn le distanze venivano arrotondate, ma era ancora possibile utilizzare tecniche di trilaterazione, anche se con minore precisione.
Altri nove non hanno avuto questo problema.
- Tinder divide le posizioni degli utenti in « celle » di 1 x 1 miglio (1,6 x 1,6 km).
- OkCupid non accede ai dati GPS, utilizza solo la città utilizzata durante la compilazione del profilo.
- Meno famosi in Brasile, POF, MeetMe, Tagged, Meetic, Tantan, Jaumo e Lovoo completano l'elenco delle applicazioni senza vulnerabilità.
Le applicazioni hanno corretto l'errore dopo il contatto
Lo studio dell’Università Cattolica di Lovanio ha seguito il principio della divulgazione responsabile delle vulnerabilità. I ricercatori hanno contattato gli sviluppatori delle 15 app studiate prima di pubblicare il lavoro.
Secondo loro, risolvere il problema è semplice: basta arrotondare le coordinate e lasciarle al terzo decimale, riducendo così la precisione. Dhondt spiega che ciò porta ad un'incertezza di 1 km.
Al Notizie TechCrunchle applicazioni si sono posizionate.
- Bumble ha detto di aver risolto i problemi.
- Hily afferma che, in pratica, è stato impossibile sfruttare questa vulnerabilità, ma ha sviluppato nuovi algoritmi di localizzazione.
- Happn afferma di avere un ulteriore livello di protezione, di cui i ricercatori non hanno tenuto conto. Dopo averlo presentato, i responsabili dello studio hanno convenuto che la tecnica impedisce la trilaterazione.
- Grindr afferma che la precisione di 111 metri è una caratteristica della rete, non un bug, per offrire maggiore vicinanza agli utenti. Secondo l'azienda, possono anche controllare queste impostazioni nell'app.
- Badoo e Hinge non hanno risposto.
Con informazioni: TechCrunch
TinderBrasile