你的位置被出賣了!四款熱門約會(huì)應(yīng)用近千萬用戶信息泄漏

研究人員發(fā)現(xiàn),Grindr、Romeo、Recon和3fun這些約會(huì)軟件只要知道用戶名,就能暴露用戶的確切位置。

四款廣受歡迎的約會(huì)軟件被發(fā)現(xiàn)泄露用戶的精確位置,這四款軟件的用戶數(shù)量加在一起可以達(dá)到1000萬。

Pen Test Partners的研究員Alex Lomas周日在博客中解釋道:“只要知道一個(gè)人的用戶名,我們就可以從家里到辦公室一直追蹤他們。我們可以找到他們?cè)谀睦锷缃缓烷e逛。而且?guī)缀跏菍?shí)時(shí)的?!?/p>

該公司開發(fā)了一個(gè)工具,可以收集Grindr、Romeo、Recon和3fun用戶的信息。它使用虛擬位置(緯度和經(jīng)度)從多個(gè)點(diǎn)檢索到用戶資料的距離,然后對(duì)數(shù)據(jù)進(jìn)行三角測量,以返回特定人員的精確位置。

對(duì)于Grindr,位置還可以更精確,除了三邊位置以外,還增加了海拔參數(shù)。

Lomas說:“我們能夠利用的三邊/三角定位信息完全來自于這些軟件所設(shè)計(jì)的公共可訪問精確位置指示器的使用?!?/p>

他還發(fā)現(xiàn),這些應(yīng)用程序收集和存儲(chǔ)的位置數(shù)據(jù)也非常精確——某些情況下甚至可以達(dá)到經(jīng)緯度的小數(shù)點(diǎn)后8位。

Lomas指出,這類地點(diǎn)泄露的風(fēng)險(xiǎn)可能會(huì)根據(jù)你的情況而有所不同,尤其是對(duì)LGBT+群體和人權(quán)實(shí)踐薄弱國家的人來說風(fēng)險(xiǎn)更高。

Lomas寫道:“除了讓自己暴露在跟蹤狂、前任和犯罪分子面前,去匿名化還可能導(dǎo)致嚴(yán)重的后果。在英國,如果BDSM(綁縛與調(diào)教、支配與臣服、施虐與受虐)群體成員碰巧從事醫(yī)生、教師或社會(huì)工作者等‘敏感’職業(yè),他們就會(huì)失業(yè)。作為LGBT+群體的一員被曝光,還可能導(dǎo)致你在美國許多沒有針對(duì)雇員性取向就業(yè)保護(hù)的州的工作受到影響?!?/p>

他補(bǔ)充說:“在人權(quán)記錄不佳的國家,如果能夠確定LGBT+群體的實(shí)際位置,就有很高的被逮捕、拘留甚至處決的風(fēng)險(xiǎn)。例如,我們能夠在沙特阿拉伯找到使用這些軟件的用戶,而沙特阿拉伯仍然會(huì)因?yàn)槟闶荓GBT+而將你判處死刑?!?/p>

Vectra的安全分析主管Chris Morales稱,如果有人擔(dān)心自己被定位,但卻依然第一時(shí)間選擇將位置信息分享給約會(huì)軟件,這其中存在很大的問題。

他說:“你以為約會(huì)軟件的全部目的就單純是讓你被發(fā)現(xiàn)嗎?任何使用約會(huì)軟件的人都沒有真正地隱藏自己,他們甚至使用基于近距離的約會(huì)功能。比如,有些軟件會(huì)告訴你,你和另一個(gè)可能感興趣的人離的很近?!?/p>

他補(bǔ)充道:“至于一個(gè)政權(quán)或國家如何使用一款軟件來定位他們不喜歡的人,這也是個(gè)值得考慮的問題。如果有人在躲避政府,你難道不認(rèn)為不把你的信息透露給私人公司將是一個(gè)良好的開端嗎?”

眾所周知,約會(huì)軟件擁有收集并保留用戶分享信息的權(quán)利。例如,ProPrivacy今年6月的一項(xiàng)分析發(fā)現(xiàn),包括Match和Tinder在內(nèi)的約會(huì)軟件收集了用戶的一切信息,從聊天內(nèi)容到財(cái)務(wù)數(shù)據(jù),然后他們會(huì)分享這些信息。他們的隱私政策也保留與廣告商和其他商業(yè)伙伴共享個(gè)人信息的權(quán)利。問題是用戶常常不知道這些隱私條款。

此外,除了這些軟件本身允許向他人泄露信息的隱私做法外,它們還常常是數(shù)據(jù)竊賊的攻擊目標(biāo)。今年7月,LGBQT約會(huì)軟件Jack 'd因泄露用戶個(gè)人數(shù)據(jù)和裸照而被罰款24萬美元。今年2月,Coffee Meets Bagel和OK Cupid都承認(rèn)存在數(shù)據(jù)泄露問題,因?yàn)楹诳透`取了用戶憑證。

Morales表示,人們?nèi)狈?duì)危險(xiǎn)的認(rèn)知意識(shí)。他補(bǔ)充說:“能夠使用約會(huì)軟件來定位某個(gè)人對(duì)我來說并不奇怪。我敢肯定,還有很多其他軟件也會(huì)泄露我們的位置信息。使用通過收集個(gè)人信息來做廣告的軟件沒有匿名性可言。社交媒體也是如此。唯一安全的方法就是一開始就不透露個(gè)人信息?!?/p>

Pen Test Partners聯(lián)系了不同的軟件開發(fā)商,詢問他們的對(duì)此的看法。Lomas說,他們的反應(yīng)各不相同。例如,Romeo說它允許用戶顯示附近的位置,而不是GPS定位(但這不是默認(rèn)設(shè)置)。Recon在收到通知后將會(huì)使用“對(duì)齊到網(wǎng)格”的位置模糊策略,其中個(gè)人的位置會(huì)被四舍五入或“對(duì)齊”到最近的網(wǎng)格中心。Lomas說:“這樣一來,距離仍然有用,但模糊了用戶的真實(shí)位置?!?/p>

研究人員發(fā)現(xiàn)Grindr可以泄露一個(gè)非常精確的位置,但Grindr沒有對(duì)此做出回應(yīng)。Lomas說,3fun的信息泄露“就像一列火車失事:Group性愛軟件泄露了用戶的一系列信息,包括地點(diǎn)、照片和個(gè)人細(xì)節(jié)等。”

他補(bǔ)充說:“有一些技術(shù)手段可以混淆一個(gè)人的精確位置,同時(shí)仍然讓基于位置的日期可用。例如,收集和存儲(chǔ)精度較低的數(shù)據(jù):使用的緯度和經(jīng)度只精確到小數(shù)點(diǎn)后三位,這大致相當(dāng)于一個(gè)街道或社區(qū)的精度水平。或者使用對(duì)齊網(wǎng)格策略來模糊用戶位置。除此之外,在軟件首次發(fā)布時(shí),軟件開發(fā)商就需要告知用戶這些風(fēng)險(xiǎn),并讓他們真正自己來選擇如何使用自己的位置數(shù)據(jù)。”

AD:還在為資金緊張煩惱嗎?獵云銀企貸,全面覆蓋京津冀地區(qū)主流銀行及信托、擔(dān)保公司,幫您細(xì)致梳理企業(yè)融資問題,統(tǒng)籌規(guī)劃融資思路,合理撬動(dòng)更大杠桿。填寫只需兩分鐘,剩下交給我們!詳情咨詢微信:zhangbiner870616 (來源:獵云網(wǎng))

極客網(wǎng)企業(yè)會(huì)員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2019-08-13
你的位置被出賣了!四款熱門約會(huì)應(yīng)用近千萬用戶信息泄漏
這些應(yīng)用程序收集和存儲(chǔ)的位置數(shù)據(jù)非常精確,甚至可以達(dá)到經(jīng)緯度的小數(shù)點(diǎn)后8位。

長按掃碼 閱讀全文