【猎云网(微信号:ilieyun)】8月13日报道(编译:金怡琳)
研究人员发现,Grindr、Romeo、Recon和3fun这些约会软件只要知道用户名,就能暴露用户的确切位置。
四款广受欢迎的约会软件被发现泄露用户的精确位置,这四款软件的用户数量加在一起可以达到1000万。
Pen Test Partners的研究员Alex Lomas周日在博客中解释道:“只要知道一个人的用户名,我们就可以从家里到办公室一直追踪他们。我们可以找到他们在哪里社交和闲逛。而且几乎是实时的。”
该公司开发了一个工具,可以收集Grindr、Romeo、Recon和3fun用户的信息。它使用虚拟位置(纬度和经度)从多个点检索到用户资料的距离,然后对数据进行三角测量,以返回特定人员的精确位置。
对于Grindr,位置还可以更精确,除了三边位置以外,还增加了海拔参数。
Lomas说:“我们能够利用的三边/三角定位信息完全来自于这些软件所设计的公共可访问精确位置指示器的使用。”
他还发现,这些应用程序收集和存储的位置数据也非常精确——某些情况下甚至可以达到经纬度的小数点后8位。
Lomas指出,这类地点泄露的风险可能会根据你的情况而有所不同,尤其是对LGBT+群体和人权实践薄弱国家的人来说风险更高。
Lomas写道:“除了让自己暴露在跟踪狂、前任和犯罪分子面前,去匿名化还可能导致严重的后果。在英国,如果BDSM(绑缚与调教、支配与臣服、施虐与受虐)群体成员碰巧从事医生、教师或社会工作者等‘敏感’职业,他们就会失业。作为LGBT+群体的一员被曝光,还可能导致你在美国许多没有针对雇员性取向就业保护的州的工作受到影响。”
他补充说:“在人权记录不佳的国家,如果能够确定LGBT+群体的实际位置,就有很高的被逮捕、拘留甚至处决的风险。例如,我们能够在沙特阿拉伯找到使用这些软件的用户,而沙特阿拉伯仍然会因为你是LGBT+而将你判处死刑。”
Vectra的安全分析主管Chris Morales称,如果有人担心自己被定位,但却依然第一时间选择将位置信息分享给约会软件,这其中存在很大的问题。
他说:“你以为约会软件的全部目的就单纯是让你被发现吗?任何使用约会软件的人都没有真正地隐藏自己,他们甚至使用基于近距离的约会功能。比如,有些软件会告诉你,你和另一个可能感兴趣的人离的很近。”
他补充道:“至于一个政权或国家如何使用一款软件来定位他们不喜欢的人,这也是个值得考虑的问题。如果有人在躲避政府,你难道不认为不把你的信息透露给私人公司将是一个良好的开端吗?”
众所周知,约会软件拥有收集并保留用户分享信息的权利。例如,ProPrivacy今年6月的一项分析发现,包括Match和Tinder在内的约会软件收集了用户的一切信息,从聊天内容到财务数据,然后他们会分享这些信息。他们的隐私政策也保留与广告商和其他商业伙伴共享个人信息的权利。问题是用户常常不知道这些隐私条款。
此外,除了这些软件本身允许向他人泄露信息的隐私做法外,它们还常常是数据窃贼的攻击目标。今年7月,LGBQT约会软件Jack 'd因泄露用户个人数据和裸照而被罚款24万美元。今年2月,Coffee Meets Bagel和OK Cupid都承认存在数据泄露问题,因为黑客窃取了用户凭证。
Morales表示,人们缺乏对危险的认知意识。他补充说:“能够使用约会软件来定位某个人对我来说并不奇怪。我敢肯定,还有很多其他软件也会泄露我们的位置信息。使用通过收集个人信息来做广告的软件没有匿名性可言。社交媒体也是如此。唯一安全的方法就是一开始就不透露个人信息。”
Pen Test Partners联系了不同的软件开发商,询问他们的对此的看法。Lomas说,他们的反应各不相同。例如,Romeo说它允许用户显示附近的位置,而不是GPS定位(但这不是默认设置)。Recon在收到通知后将会使用“对齐到网格”的位置模糊策略,其中个人的位置会被四舍五入或“对齐”到最近的网格中心。Lomas说:“这样一来,距离仍然有用,但模糊了用户的真实位置。”
研究人员发现Grindr可以泄露一个非常精确的位置,但Grindr没有对此做出回应。Lomas说,3fun的信息泄露“就像一列火车失事:Group性爱软件泄露了用户的一系列信息,包括地点、照片和个人细节等。”
他补充说:“有一些技术手段可以混淆一个人的精确位置,同时仍然让基于位置的日期可用。例如,收集和存储精度较低的数据:使用的纬度和经度只精确到小数点后三位,这大致相当于一个街道或社区的精度水平。或者使用对齐网格策略来模糊用户位置。除此之外,在软件首次发布时,软件开发商就需要告知用户这些风险,并让他们真正自己来选择如何使用自己的位置数据。”