Cum a dezvăluit aplicația Bumble locația exactă a utilizatorilor

Sute de milioane de oameni din întreaga lumea folosesc aplicații de dating pentru a găsi o persoană specială, însă aceștia ar fi surprinși să afle cât de ușor i-a fost unui cercetător din domeniul securității să descopere locația exactă a unui utilizator folosind Bumble.

Robert Heaton, care lucrează ca inginer de software la firma de procesare de plăți Stripe, a descoperit o vulnerabilitate gravă a cunoscutei aplicații de dating Bumble, care ar putea permite utilizatorilor să determine locația altor utilizatori cu o precizie uluitoare.

La fel ca în cazul altor aplicații de dating, Bumble afișează distanța geografică aproximativă dintre un utilizator și persoanele cu care acesta este compatibil în aplicație.

Poate nu crezi că distanța la care te afli față de o persoană ar putea dezvălui locația acesteia, dar la fel de bine, poate nu știi despre trilaterare.

Trilaterarea este o metodă de determinare a unei locații exacte prin măsurarea distanței unei ținte față de trei puncte distincte.  Dacă cineva ți-ar cunoaște distanța exactă din trei locații, ar putea pur și simplu să deseneze un cerc din acele puncte folosind distanța respectivă ca valoare a razei - iar în punctul în care cercurile se suprapun se află locația ta.

Tot ce ar trebui să facă un infractor este să creeze trei profiluri diferite, să le poziționeze în locații diferite și să vadă la ce distanță se află față de victimă, corect?

Da, într-adevăr. Însă Bumble a identificat în mod clar acest risc, astfel încât afișa doar distanțele aproximative dintre doi utilizatori compatibili (de exemplu, 2 mile în loc de 2,12345 mile).

Totuși, Heaton a descoperit o metodă prin care putea determina Bumble să dezvăluie suficiente informații pentru a divulga distanța exactă dintre utilizatori.

Folosind un script automatizat, Heaton a putut trimite numeroase solicitări către serverele Bumble, care au repoziționat în mod repetat locația unui profil fals controlat de acesta, înainte de a solicita distanța profilului față de victima vizată.

Heaton a explicat că, observând când se schimba distanța aproximativă retunată de serverele Bumble, a putut obține o distanță exactă:

„Dacă un atacator (de exemplu, noi) poate găsi punctul în care distanța raportată pentru un utilizator se schimbă, să zicem de la 3 mile la 4 mile, atacatorul poate deduce faptul că acela este punctul în care victima se află la o distanță de 3,5 mile de acesta.

„3,49999 mile se rotunjește la 3 mile, iar 3,50000 se rotunjește la 4 mile. Atacatorul poate găsi aceste puncte critice falsificând o solicitare de locație care îl poziționează în vecinătatea aproximativă a victimei sale, iar mai apoi schimbându-și ușor poziția într-o direcție constantă, solicitând aplicației Bumble în fiecare punct să indice la ce distanță se află victima. Atunci când distanța raportată se schimbă, de exemplu, din 3 mile în 4 mile, atacatorul a descoperit punctul critic. Dacă atacatorul poate găsi 3 puncte critice diferite, atunci a obținut din nou 3 distanțe exacte față de victima sa și poate efectua o trilaterare precisă.”

În timpul testelor sale, Heaton a descoperit că Bumble furniza, de fapt, distanțe „rotunjite prin lipsă” sau mai mici, ceea ce înseamnă că, de exemplu, o distanță de 3,99999 ar fi afișată ca o distanță de aproximativ 3 mile, nu 4 mile - însă acest lucru nu a împiedicat metodologia lui să determine cu succes locația unui utilizator după o modificare minoră a scriptului său.

Heaton a raportat vulnerabilitatea în mod responsabil și a fost recompensat cu 2000 de dolari pentru descoperirea bug-ului.  Bumble ar fi remediat vulnerabilitatea în decurs de 72 de ore, precum și o altă eroare descoperită de Heaton, care i-a permis acestuia să acceseze informații despre profilurile de dating care ar fi trebuit să fie accesibile doar după achitarea unei taxe de 1,99 de dolari.

Heaton recomandă aplicațiilor de dating să aproximeze locațiile utilizatorilor la cea mai apropiată distanță de 0,1 grade de latitudine și longitudine înainte de a calcula distanța dintre ei, sau să înregistreze încă de la început locația aproximativă a unui utilizator.

Conform explicațiilor lui: „Nu există posibilitatea de a divulga informații pe care nu le colectezi.”

Bineînțeles, este posibil să existe motive comerciale pentru care aplicațiile de dating vor să știe locația ta exactă - dar acesta este un subiect pentru un alt articol.

Rămâneți în siguranță!