Falha em apps de encontros permitia descobrir localização de usuário

Pesquisadores descobrem que técnica similar à do GPS podia ser usada no Bumble, Grindr, Happn e outros aplicativos de relacionamento

Giovanni Santa Rosa
Por
Ataque é rudimentar e difícil, mas poderia ser usado por stalkers em aplicativos de relacionamento (ilustração: Vítor Pádua/Tecnoblog)

Um estudo com 15 aplicativos de relacionamento revelou que Bumble, Grindr, Happn, Badoo, Hinge e Hily tinham um problema de privacidade em seu funcionamento. Devido a essa vulnerabilidade, era possível estimar a localização de um usuário. Em alguns destes apps, a precisão poderia chegar a apenas 2 m.

O trabalho foi feito por pesquisadores de cibersegurança da Universidade Católica de Lovaina, na Bélgica. Eles analisaram os recursos de localização e privacidade de aplicativos de encontros. Com eles, um usuário pode ter uma estimativa de qual a distância até um determinado perfil.

O que é trilateração oracular?

Os cientistas consideraram uma técnica que eles chamam de “trilateração oracular”. Trilateração é o nome dado à técnica de estimar uma localização de um ponto, usando como base as distâncias dele a três outros pontos conhecidos. O GPS, por exemplo, usa esta técnica.

A trilateração oracular toma isso como base, mas com uma prática muito menos refinada, envolvendo tentativa e erro. Digamos que o alvo esteja a 5 km. O atacante poderia se mover aos pouquinhos até este número mudar. Fazendo isso em três direções diferentes, seria possível deduzir a localização desta pessoa, já que haveria três pontos com uma distância conhecida.

Karel Dhondt, um dos pesquisadores, diz que seria possível estimar uma precisão de até 2 m usando este método, desde que se saiba como a plataforma arredonda as localizações.

Apps afetados pelo problema

Pessoa usando o aplicativo do Bumble no celular
Bumble fez mudanças após ser comunicado sobre o problema (Imagem: Good Faces Agency / Unsplash)

Segundo o estudo, seis apps apresentavam problemas.

  • Badoo, Bumble, Hinge e Hily estavam sujeitos à trilateração oracular.
  • O Grindr estava suscetível a uma trilateração exata de 111 m de precisão.
  • No Happn, as distâncias eram arredondadas, mas ainda era possível usar técnicas de trilateração, ainda que com precisão menor.

Outros nove não tinham este problema.

  • O Tinder divide as localizações dos usuários em “células” de 1 x 1 milha (1,6 x 1,6 km).
  • O OkCupid não acessa dados de GPS, usando apenas a cidade usada na hora de preencher o perfil.
  • Menos famosos no Brasil, POF, MeetMe, Tagged, Meetic, Tantan, Jaumo e Lovoo completam a lista de aplicativos sem a vulnerabilidade.

Aplicativos corrigiram falha após contato

O estudo da Universidade Católica de Lovaina seguiu o princípio da divulgação responsável de vulnerabilidades. Os pesquisadores entraram em contato com os desenvolvedores dos 15 aplicativos estudados antes de publicar o trabalho.

Segundo eles, resolver o problema é fácil: basta arredondar as coordenadas e deixá-las com três casas decimais, reduzindo a precisão. Dhondt explica que isso leva a uma incerteza de 1 km.

Ao TechCrunch, os aplicativos se posicionaram.

  • O Bumble disse ter resolvido os problemas.
  • O Hily diz que, na prática, era impossível explorar esta vulnerabilidade, mas desenvolveu novos algoritmos de localização.
  • O Happn diz ter uma camada de proteção extra, que não foi levada em consideração pelos pesquisadores. Após apresentá-la, os responsáveis pelo estudo concordaram que a técnica impede a trilateração.
  • O Grindr diz que a precisão de 111 metros é uma característica da rede, não um bug, para oferecer mais proximidade aos usuários. Eles também podem controlar estas configurações no app, segundo a empresa.
  • Badoo e Hinge não responderam.

Com informações: TechCrunch

Relacionados

Escrito por

Giovanni Santa Rosa

Giovanni Santa Rosa

Repórter

Giovanni Santa Rosa é formado em jornalismo pela ECA-USP e cobre ciência e tecnologia desde 2012. Foi editor-assistente do Gizmodo Brasil e escreveu para o UOL Tilt e para o Jornal da USP. Cobriu o Snapdragon Tech Summit, em Maui (EUA), o Fórum Internacional de Software Livre, em Porto Alegre (RS), e a Campus Party, em São Paulo (SP). Atualmente, é autor no Tecnoblog.

Temas populares