Bir grup araştırmacı, aralarında popüler Bumble ve Hinge’in de bulunduğu bazı flört uygulamalarının tasarımlarındaki güvenlik açıklarının, kötü niyetli kullanıcıların veya takipçilerin kurbanlarının yerini 2 metreye kadar tespit etmesine olanak tanıdığını söyledi.
İçinde yeni bir akademik makaleBelçika KU Leuven Üniversitesi’nden araştırmacılar, 15 popüler flört uygulamasını analiz ettiklerinde bulgularını ayrıntılı olarak açıkladılar. Araştırmacılara göre, Badoo, Bumble, Grindr, happn, Hinge ve Hily’nin hepsinde kötü niyetli bir kullanıcının başka bir kullanıcının neredeyse tam yerini belirlemesine yardımcı olabilecek aynı güvenlik açığı vardı.
Bu uygulamaların hiçbiri profillerinde kullanıcılar arasındaki mesafeyi görüntülerken kesin konumları paylaşmasa da, uygulamaların “filtreler” özelliği için kesin konumları kullandılar. Genel olarak, filtreleri kullanarak kullanıcılar eş aramalarını yaş, boy, aradıkları ilişki türü ve en önemlisi mesafe gibi kriterlere göre uyarlayabilirler.
Araştırmacılar, hedef kullanıcının tam yerini belirlemek için “oracle trilateration” adını verdikleri yeni bir teknik kullandılar. Genel olarak, üçlemeÖrneğin GPS’te kullanılan, üç noktayı kullanarak ve bunların hedefe göre uzaklığını ölçerek çalışır. Bu, hedefin bulunduğu noktada kesişen üç daire oluşturur.
Oracle trilateration biraz farklı çalışır. Araştırmacılar makalelerinde, hedefinin yerini belirlemek isteyen kişi için ilk adımın “kurbanın yerini kabaca tahmin etmek” olduğunu, örneğin hedefin profilinde gösterilen yere dayanarak bunu yaptığını yazdılar. Daha sonra saldırgan, “kahin kurbanın artık yakınlıkta olmadığını ve bunun üç farklı yönde olduğunu gösterene kadar” artışlarla hareket eder. Araştırmacılar, saldırganın artık bilinen kesin bir mesafeye sahip üç pozisyonu olduğunu, yani önceden seçilmiş yakınlık mesafesine sahip olduğunu ve kurbanı trilateration edebileceğini yazdılar.
Araştırmacılardan biri olan Karel Dhondt, TechCrunch’a “Bu popüler uygulamalarda bilinen sorunların hala mevcut olması biraz şaşırtıcıydı” dedi. Bu teknik, kurbanın tam GPS koordinatlarını ortaya çıkarmasa da “Kullanıcıyı tam olarak belirlemek için 2 metrenin yeterli olduğunu söyleyebilirim” dedi Dhondt.
İyi haber şu ki, bu sorunları yaşayan ve araştırmacıların ulaştığı tüm uygulamalar artık mesafe filtrelerinin çalışma şeklini değiştirdi ve oracle trilaterasyon tekniğine karşı savunmasız değiller. Araştırmacılara göre çözüm, tam koordinatları üç ondalık basamağa yuvarlamak ve bunları daha az kesin ve doğru hale getirmekti.
Dhondt, “Bu yaklaşık bir kilometrelik bir belirsizlik” dedi.
Bumble sözcüsü, şirketin “bu bulgulardan 2023 yılı başlarında haberdar edildiğini ve özetlenen sorunları hızla çözdüğünü” söyledi.
Hily’nin CTO’su ve kurucu ortağı Dmytro Kononov, TechCrunch’a yaptığı açıklamada, şirketin geçen yılın mayıs ayında söz konusu güvenlik açığıyla ilgili bir rapor aldığını ve ardından araştırmacıların iddialarını değerlendirmek için bir soruşturma başlattığını söyledi.
“Bulgular, trilaterasyon için potansiyel bir olasılık olduğunu gösterdi. Ancak pratikte, bunu saldırılar için kullanmak imkansızdı. Bunun nedeni, spam gönderenlere karşı koruma sağlamak için tasarlanmış dahili mekanizmalarımız ve arama algoritmamızın mantığıdır,” dedi Kononov. “Buna rağmen, raporun yazarlarıyla kapsamlı istişarelerde bulunduk ve bu tür saldırıları tamamen ortadan kaldırmak için iş birliği içinde yeni coğrafi kodlama algoritmaları geliştirdik. Bu yeni algoritmalar bir yıldan uzun süredir başarıyla uygulanıyor.
Bumble’ın sahibi olduğu Badoo ve Hinge yorum talebine yanıt vermedi.
Happn CEO’su ve Başkanı Karima Ben Abdelmalek, TechCrunch’a gönderdiği e-postada, şirketin geçen yıl araştırmacılar tarafından arandığını söyledi.
“Baş Güvenlik Sorumlumuzun araştırma bulgularını incelemesinin ardından, araştırmacılarla trilaterasyon yöntemini tartışma fırsatımız oldu. Ancak happn, mesafeleri yuvarlamanın ötesinde ek bir koruma katmanına sahip,” dedi Ben Abdelmalek. “Bu ek koruma, onların analizinde hesaba katılmadı ve happn üzerindeki bu ek önlemin trilaterasyon tekniğini etkisiz hale getirdiği konusunda karşılıklı olarak anlaştık.”
Araştırmacılar ayrıca kötü niyetli bir kişinin, bir diğer popüler flört uygulaması olan Grindr’ın kullanıcılarını tam koordinatlarından yaklaşık 111 metre uzağa yerleştirebileceğini buldu. Araştırmacılara göre bu, diğer uygulamaların izin verdiği 2 metreden daha iyi olsa da yine de potansiyel olarak tehlikeli olabilir.
Dhondt, “Bu hassasiyete karşılık gelen 111 metrelik mesafenin, yoğun-seyrek nüfuslu bölgelerde yeterli olmadığını savunuyoruz” dedi.
Grindr, kullanıcıların kesin konumlarını üç ondalık basamağa yuvarladığı için 111 metrenin altına inmeyi imkansız hale getiriyor. Ve araştırmacılara göre, Grindr’a ulaştıklarında şirket bunun bir hata değil, bir özellik olduğunu söyledi.
Grindr’ın Gizlilik Sorumlusu Kelly Peterson Miranda, yaptığı açıklamada, “Kullanıcılarımızın çoğu için Grindr, LGBTQ+ topluluğuyla bağlantı kurmanın tek yolu ve Grindr’ın bu topluluğa sunduğu yakınlık, onlara en yakın olanlarla etkileşim kurma olanağı sağlaması açısından son derece önemli.” dedi.
Miranda, “Konum tabanlı birçok sosyal ağ ve flört uygulamasında olduğu gibi, Grindr da kullanıcılarını yakındaki kişilerle bağlantıya geçirmek için belirli konum bilgilerine ihtiyaç duyuyor,” dedi ve kullanıcıların isterlerse mesafelerinin görüntülenmesini devre dışı bırakabileceklerini ekledi. “Grindr kullanıcıları, hangi konum bilgilerini sağlayacakları konusunda kontrole sahiptir.”