使用Tinder、Bumble、Grindr、Badoo、OKCupid、MeetMe和Hinge等应用程序寻找爱情已经是一个艰巨的过程。然而,比利时鲁汶大学的安全研究人员Karel Dhondt和Victor Le Pochat的最新研究表明,这些应用程序还可能威胁用户的隐私,泄露敏感用户数据,甚至精确定位用户的位置。这一发现引发了对基于位置的约会应用程序用户隐私和安全的广泛关注。
研究发现的主要内容
研究人员分析了15个基于位置的约会应用程序,以了解恶意行为者可能从中提取哪些类型的用户数据。令人担忧的是,这15款应用都泄露了某种类型的敏感用户数据,这些数据“可能被攻击者滥用”,而不仅仅是用户通过公开个人资料或个人设置与应用公开分享的数据。根据欧盟《通用数据保护条例》(GDPR)的定义,种族血统、政治观点、性取向和/或性别以及健康信息等数据被归入“敏感”数据的类别。
Le Pochat在接受Dark Reading采访时解释说:“我们的主要目标是,我们特别想看看在与其他用途共享数据方面存在哪些风险。如果我恶意使用该应用程序,我能了解到我周围用户的哪些信息?”
精确定位用户位置的风险
更为严重的是,研究发现,有六款应用程序,包括Bumble、Grindr和Hinge在内,允许恶意行为者通过与应用程序交互并了解距离的计算方式,精确定位使用该应用程序的人的确切物理位置。这意味着,攻击者可以使用一种类似于GPS卫星跟踪位置的方法——三边测量法,从他们所在位置到受害者的已知距离,并构建一系列具有交点的圆圈,从而可以以不同的精度精确定位应用程序用户。
例如,Grindr提供了所谓的“精确距离三边测量法”,即使个人资料中隐藏了距离信息的用户,其距离也能精确到米。对于该应用的用户,尤其是在同性恋行为非法的国家,这可能带来极大的危险。
API漏洞与数据泄露
研究人员深入研究了这些应用程序,检查了自动发送到用户设备的API流量,这些流量很容易被恶意行为者检查到。他们发现,这15个应用程序的API都存在某种形式的泄漏。在大多数情况下,服务器只是向应用程序界面推送了不必要的数据。例如,Tinder中,虽然应用程序中只显示了一个人的年龄,但API却显示了这个人的确切生日。此外,即使用户将性别设置为隐藏,自定义的非二元性别也会在后台流量中发送,任何人都可以读取。
大部分漏洞已修复,但问题依然存在
研究人员联系了所有存在漏洞的应用程序公司,他们表示,所有允许三边测量的应用程序中的位置泄漏问题都已得到修复。然而,研究人员指出,一些应用程序仍在泄漏数据,因为一些公司虽然承认存在泄漏问题,但声称这是应用程序的“故意行为”。
这意味着,尽管全世界有数百万人通过约会应用与陌生人分享非常私密的信息,但在某些情况下,他们不应该这样做,因为这可能并不完全安全。Dhondt敦促人们“对自己分享的信息非常谨慎”,他强调,“我们看到应用程序鼓励人们分享大量信息以获得更多匹配。也许他们不应该这么做。应用程序没有的数据,他们不能泄露。”
结论
约会应用程序的API漏洞带来了严重的用户隐私和安全风险。用户在使用这些应用程序时,应保持警惕,避免分享过多的个人信息。应用程序开发公司则应加强数据保护措施,确保用户隐私不被泄露。这不仅是对用户隐私的尊重,也是保护用户安全的必要措施。在这个数字时代,数据安全与隐私保护已成为每个人都应重视的重要课题。
