Vier populaire dating-apps bevatten kwetsbaarheden waardoor het mogelijk is om 10 miljoen gebruikers in real-time te volgen. Dat stellen onderzoekers van securitybedrijf Pen Test Partners. Het gaat om Grindr, Romeo, Recon en 3Fun die zo'n 10 miljoen gebruikers wereldwijd hebben.

De onderzoekers maakten gebruik van een driezijdige berekening (trilateration) om de locatie van gebruikers te bepalen. De dating-apps laten zien op hoeveel afstand een potentiële date zich bevindt. Door het opgeven van gespoofte locaties was het mogelijk om de afstanden van deze profielen vanaf verschillende punten te berekenen en zo de exacte locatie te bepalen.

De onderzoekers maakten een tool die het mogelijk maakt om gebruikers van de apps te volgen. Alleen het weten van de gebruikersnaam is voldoende. "De locatiegegevens die deze apps verzamelen en opslaan is zeer precies", zegt onderzoeker Alex Lomas. De manier waarop de onderzoekers de locatie van gebruikers kunnen achterhalen maakt gebruik van publiek beschikbare programmeerinterfaces (API's) op een manier waarvoor ze bedoeld zijn. In het geval een aanvaller toegang tot een server van de apps krijgt kan die meteen de exacte locatie van de gebruiker achterhalen, aldus Lomas.

De app-ontwikkelaars werden door de onderzoekers gewaarschuwd. Romeo stelde dat het gebruikers binnen de instellingen de optie biedt om hun locatie niet precies door te geven. Dit is echter niet de standaardinstelling. Recon claimt het probleem deze week te zullen verhelpen. 3Fun heeft het probleem inmiddels verholpen en Grindr gaf helemaal geen reactie aan de onderzoekers.