Исследователи из Бельгии обнаружили, что множество приложений для знакомств могут угрожать конфиденциальности пользователей, распространяя их чувствительные данные и даже точное местоположение. Карел Дондт и Виктор Ле Почат из университета KU Leuven проанализировали 15 популярных приложений, включая Tinder, Bumble, Grindr, и пришли к неутешительным выводам.
Как выяснилось, все 15 приложений допускали утечку некоторую чувствительной информации, которая может быть использована злоумышленниками. В соответствии с GDPR, к такой информации относятся данные об этническом происхождении, политических взглядах, сексуальной ориентации и здоровье. Ле Почат подчеркнул, что для доступа к этим данным даже не требуется взлом серверов того или иного сервиса, достаточно лишь технической грамотности и мониторинга трафика.
Шесть приложений, среди которых Bumble, Grindr и Hinge, позволяли потенциальным злоумышленникам определить точное местоположение пользователей. Это достигалось через анализ расстояний, используемых для подбора партнёров.
Ранее Дондт и Ле Почат изучали утечки данных в фитнес-приложениях, таких как Strava, и даже представили свои находки на конференции Black Hat Asia в 2023 году, что собираются сделать и в этом году на конференции Black Hat USA 2024. Их новое исследование выросло из диссертации Дондта, посвящённой защите личных данных.
Одним из методов, использованных исследователями для определения местоположения, была трилатерация, аналогичная методу GPS. Это позволило точно определить координаты пользователя с помощью пересечения кругов, построенных по известным расстояниям.
В приложении Grindr исследователи выявили уязвимость, позволяющую определять местоположение пользователя с точностью до метра, даже если он скрывает информацию о расстоянии в своём профиле. Некоторые приложения использовали метод “округлённой трилатерации” или “оракул-трилатерации”, что также позволяло злоумышленникам довольно точно определять местоположение пользователя. Например, приложения Badoo, Bumble и Hinge были подвержены этим уязвимостям.
Исследователи отметили, что утечка данных в приложениях для знакомств может представлять серьёзную угрозу безопасности пользователей, в том числе физической. Всё из-за интимного характера взаимодействий в таких приложениях.
Анализируя трафик приложений, исследователи с удивлением обнаружили, что многие из них отправляют гораздо больше данных, чем приложения показывают в интерфейсе. Например, в Tinder можно скрыть свой пол, но в API эта информация всё равно передаётся.
Все компании, чьи приложения были уязвимы, были уведомлены исследователями, а большинство вышеописанных брешей, включая утечки местоположения, были устранены. Тем не менее, некоторые компании посчитали, что подобные утечки не представляют большой угрозы и, в целом, являются изначально предусмотренным поведением их приложения.
Исследователи призывают пользователей быть осторожными с тем, какой информацией они делятся через приложения для знакомств. “Приложения побуждают делиться большим количеством информации для увеличения шансов на мэтч, однако то, чего они не знают, точно утечь не может”, – справедливо отметил Дондт.
Данное исследование служит напоминанием о том, что в погоне за онлайн-коммуникацией и романтическими отношениями мы не должны забывать о цене, которую платим за кажущуюся лёгкость такого общения. Каждый пользователь должен осознавать ответственность за защиту своих личных данных и критически оценивать, какую информацию он готов доверить цифровому миру, а какую нет.