Bir grup araştırmacı, popüler Bumble ve Hinge dahil olmak üzere bazı flört uygulamalarının tasarımındaki güvenlik açıklarının, kötü niyetli kullanıcıların veya sapkınların kurbanlarının yerini 2 metreye kadar tespit etmesine olanak sağladığını bulduklarını söyledi.
Belçika’daki KU Leuven Üniversitesi’nden araştırmacılar, yeni bir akademik makalede 15 popüler flört uygulamasını analiz ettiklerinde bulgularını ayrıntılarıyla anlattı. Araştırmacılara göre Badoo, Bumble, Grindr, happn, Hinge ve Hily, kötü niyetli bir kullanıcının başka bir kullanıcının neredeyse tam yerini belirlemesine yardımcı olabilecek aynı güvenlik açığına sahipti.
Bu uygulamaların hiçbiri, profillerinde kullanıcılar arasındaki mesafeyi görüntülerken kesin konumları paylaşmasa da, uygulamaların “filtreleme” özelliği için tam konumları kullandılar. Genel olarak konuşursak, kullanıcılar filtreleri kullanarak partner aramalarını yaş, boy, ne tür bir ilişki aradıkları ve en önemlisi mesafe gibi kriterlere göre uyarlayabilirler.
Hedef kullanıcının tam yerini belirlemek için araştırmacılar “oracle trilaterasyon” adını verdikleri yeni bir teknik kullandılar. Genel olarak, örneğin GPS’te kullanılan trilaterasyon, üç noktanın kullanılması ve bunların hedefe göre mesafelerinin ölçülmesiyle çalışır. Bu, hedefin bulunduğu noktada kesişen üç daire oluşturur.
Oracle trilaterasyonu biraz farklı çalışır. Araştırmacılar makalelerinde, hedefinin konumunu belirlemek isteyen kişinin ilk adımının, örneğin hedefin profilinde görüntülenen konuma dayanarak “kurbanın konumunu kabaca tahmin ettiğini” yazdılar. Daha sonra saldırgan, “kahin kurbanın artık yakınlarda olmadığını ve bunun üç farklı yönde olduğunu belirtene kadar” adım adım hareket eder. Saldırganın artık kesin mesafesi bilinen, yani önceden seçilmiş yakınlık mesafesine sahip üç konumu var ve kurbanı üçlü hale getirebilir” diye yazdı araştırmacılar.
Araştırmacılardan Karel Dhondt TechCrunch’a şöyle konuştu: “Bu popüler uygulamalarda bilinen sorunların hâlâ mevcut olması biraz şaşırtıcıydı.” Bu teknik kurbanın tam GPS koordinatlarını ortaya çıkarmasa da Dhondt, “2 metrenin kullanıcının yerini tespit etmeye yetecek kadar yakın olduğunu söyleyebilirim” dedi.
İyi haber şu ki, bu sorunları yaşayan ve araştırmacıların ulaştığı tüm uygulamalar artık mesafe filtrelerinin çalışma şeklini değiştirdi ve oracle trilaterasyon tekniğine karşı savunmasız değil. Araştırmacılara göre çözüm, tam koordinatları üç ondalık sayıya yuvarlayarak onları daha az kesin ve doğru hale getirmekti.
Dhondt, “Bu yaklaşık bir kilometrelik bir belirsizliktir” dedi.
Bir Bumble sözcüsü, şirketin “2023’ün başlarında bu bulgulardan haberdar edildiğini ve özetlenen sorunları hızlı bir şekilde çözdüğünü” söyledi.
Hily’nin CTO’su ve kurucu ortağı Dmytro Kononov, TechCrunch’a yaptığı açıklamada şirketin geçen yılın mayıs ayında güvenlik açığına ilişkin bir rapor aldığını ve ardından araştırmacıların iddialarını değerlendirmek için bir araştırma yaptığını söyledi.
“Bulgular trilatasyon için potansiyel bir olasılığı gösterdi. Ancak pratikte bunu saldırılar için kullanmak imkansızdı. Bunun nedeni, spam gönderenlere karşı koruma sağlamak için tasarlanmış dahili mekanizmalarımız ve arama algoritmamızın mantığıdır” dedi Kononov. “Buna rağmen, raporun yazarlarıyla kapsamlı istişarelerde bulunduk ve bu tür saldırıları tamamen ortadan kaldırmak için işbirliği içinde yeni coğrafi kodlama algoritmaları geliştirdik. Bu yeni algoritmalar bir yılı aşkın süredir başarıyla uygulanmaktadır.
Ne Bumble’ın sahibi olduğu Badoo ne de Hinge yorum talebine yanıt verdi..
Happn CEO’su ve Başkanı Karima Ben Abdelmalek, TechCrunch’a e-postayla yaptığı açıklamada, araştırmacıların geçen yıl şirketle iletişime geçtiğini söyledi.
“Araştırma bulguları Güvenlik Şefimiz tarafından incelendikten sonra araştırmacılarla trilaterasyon yöntemini tartışma fırsatı bulduk. Ancak happn’ın yalnızca yuvarlama mesafelerinin ötesinde ek bir koruma katmanı var” dedi Ben Abdelmalek. “Bu ek koruma, analizlerinde dikkate alınmadı ve happn’deki bu ekstra önlemin, trilaterasyon tekniğini etkisiz hale getirdiği konusunda karşılıklı olarak anlaştık.”
Araştırmacılar ayrıca, kötü niyetli bir kişinin, bir başka popüler flört uygulaması olan Grindr’ın kullanıcılarını tam koordinatlarının yaklaşık 111 metresine kadar bulabildiğini de buldu. Bu, diğer uygulamaların izin verdiği 2 metreden daha iyi olsa da araştırmacılara göre yine de potansiyel olarak tehlikeli olabilir.
Dhondt, “Bu hassasiyete karşılık gelen mesafe olan 111 metrenin, seyrek nüfuslu bölgelerde yeterli olmadığını savunuyoruz” dedi.
Grindr, kullanıcıların kesin konumlarını üç ondalık rakamla yuvarladığı için 111 metrenin altına inmeyi imkansız hale getiriyor. Araştırmacılara göre Grindr ile iletişime geçtiklerinde şirket bunun bir hata değil, bir özellik olduğunu söyledi.
Grindr Gizlilik Sorumlusu Kelly Peterson Miranda yaptığı açıklamada, “Birçok kullanıcımız için Grindr, LGBTQ+ topluluğuyla tek bağlantı şeklidir ve Grindr’ın bu topluluğa sunduğu yakınlık, etkileşim kurma yeteneği sağlamada çok önemlidir” dedi. en yakınındakilerle.”
Miranda, “Birçok konum tabanlı sosyal ağ ve flört uygulamasında olduğu gibi, Grindr da kullanıcılarını yakındakilerle buluşturmak için belirli konum bilgilerine ihtiyaç duyuyor” dedi ve kullanıcıların isterlerse mesafelerinin görüntülenmesini devre dışı bırakabileceklerini de sözlerine ekledi. “Grindr kullanıcıları hangi konum bilgilerini sağladıkları konusunda kontrol sahibidir.”
Kaynak: https://techcrunch.com/2024/07/31/bumble-and-hinge-allowed-stalkers-to-pinpoint-users-locations-down-to-2-meters-researchers-say/
Web sitemizde ziyaretçilerimize daha iyi hizmet sağlayabilmek adına bazı çerezler kullanıyoruz. Web sitemizi kullanmaya devam ederseniz çerezleri kabul etmiş sayılırsınız.
Gizlilik Politikası