Falha em apps de encontros permitia descobrir localização de usuário
Pesquisadores descobrem que técnica similar à do GPS podia ser usada no Bumble, Grindr, Happn e outros aplicativos de relacionamento
Um estudo com 15 aplicativos de relacionamento revelou que Bumble, Grindr, Happn, Badoo, Hinge e Hily tinham um problema de privacidade em seu funcionamento. Devido a essa vulnerabilidade, era possível estimar a localização de um usuário. Em alguns destes apps, a precisão poderia chegar a apenas 2 m.
O trabalho foi feito por pesquisadores de cibersegurança da Universidade Católica de Lovaina, na Bélgica. Eles analisaram os recursos de localização e privacidade de aplicativos de encontros. Com eles, um usuário pode ter uma estimativa de qual a distância até um determinado perfil.
O que é trilateração oracular?
Os cientistas consideraram uma técnica que eles chamam de “trilateração oracular”. Trilateração é o nome dado à técnica de estimar uma localização de um ponto, usando como base as distâncias dele a três outros pontos conhecidos. O GPS, por exemplo, usa esta técnica.
A trilateração oracular toma isso como base, mas com uma prática muito menos refinada, envolvendo tentativa e erro. Digamos que o alvo esteja a 5 km. O atacante poderia se mover aos pouquinhos até este número mudar. Fazendo isso em três direções diferentes, seria possível deduzir a localização desta pessoa, já que haveria três pontos com uma distância conhecida.
Karel Dhondt, um dos pesquisadores, diz que seria possível estimar uma precisão de até 2 m usando este método, desde que se saiba como a plataforma arredonda as localizações.
Apps afetados pelo problema
Segundo o estudo, seis apps apresentavam problemas.
- Badoo, Bumble, Hinge e Hily estavam sujeitos à trilateração oracular.
- O Grindr estava suscetível a uma trilateração exata de 111 m de precisão.
- No Happn, as distâncias eram arredondadas, mas ainda era possível usar técnicas de trilateração, ainda que com precisão menor.
Outros nove não tinham este problema.
- O Tinder divide as localizações dos usuários em “células” de 1 x 1 milha (1,6 x 1,6 km).
- O OkCupid não acessa dados de GPS, usando apenas a cidade usada na hora de preencher o perfil.
- Menos famosos no Brasil, POF, MeetMe, Tagged, Meetic, Tantan, Jaumo e Lovoo completam a lista de aplicativos sem a vulnerabilidade.
Aplicativos corrigiram falha após contato
O estudo da Universidade Católica de Lovaina seguiu o princípio da divulgação responsável de vulnerabilidades. Os pesquisadores entraram em contato com os desenvolvedores dos 15 aplicativos estudados antes de publicar o trabalho.
Segundo eles, resolver o problema é fácil: basta arredondar as coordenadas e deixá-las com três casas decimais, reduzindo a precisão. Dhondt explica que isso leva a uma incerteza de 1 km.
Ao TechCrunch, os aplicativos se posicionaram.
- O Bumble disse ter resolvido os problemas.
- O Hily diz que, na prática, era impossível explorar esta vulnerabilidade, mas desenvolveu novos algoritmos de localização.
- O Happn diz ter uma camada de proteção extra, que não foi levada em consideração pelos pesquisadores. Após apresentá-la, os responsáveis pelo estudo concordaram que a técnica impede a trilateração.
- O Grindr diz que a precisão de 111 metros é uma característica da rede, não um bug, para oferecer mais proximidade aos usuários. Eles também podem controlar estas configurações no app, segundo a empresa.
- Badoo e Hinge não responderam.
Com informações: TechCrunch
