Bumble- en happn-gebruikers waren tot op twee meter te lokaliseren
Verschillende problemen bij locatiegebaseerde datingapps, waaronder Bumble en happn, maakte het mogelijk om de locatie van gebruikers tot op twee meter nauwkeurig te achterhalen. Dat ontdekten onderzoekers van de KU Leuven, zo staat in hun onderzoekersrapport: "Swipe Left for Identity Theft: An Analysis of User Data Privacy Risks on Location-based Dating Apps" (pdf). De betreffende apps: Badoo, Bumble, Grindr, happn, Hinge en Hily, hebben de problemen opgelost.
De datingapps beschikken over de min of meer exacte locatie van gebruikers, maar geven die niet weer aan andere gebruikers. De onderzoekers ontdekten echter verschillende methodes om deze locatie toch te achterhalen. In het geval van Grindr wisten de onderzoekers door middel van trilateratie de locatie van gebruikers tot op 111 meter te bepalen. Bij trilateratie worden drie punten genomen en hun afstand tot het doelwit berekend.
"We ontdekten een nieuwe manier waarmee met slechts één account de afstand is af te leiden, door iteratief de minimale afstandsparameter van de grid retrieval endpoint te manipuleren. Dit maakt exacte afstandstrilaterie mogelijk, zelfs bij gebruikers met verborgen afstanden", aldus de onderzoekers. Vanwege het risico voor gebruikers om ontdekt te worden verbergt Grindr in sommige landen standaard de afstand van gebruikers tot elkaar.
In het geval van happn ontdekten de onderzoekers dat in de gebruikersinterface een afgeronde afstand wordt weergegeven. De API van de datingapp blijkt echter een veel nauwkeurige afstand te bevatten. In beide gevallen is het mogelijk om door middel van trilateratie de locatie van de gebruiker te achterhalen.
Bij Badoo, Bumble, Hinge en Hily gebruikten de onderzoekers een techniek genaamd 'oracle trilateration'. Een aanvaller moet in dit geval eerst een idee hebben waar het doelwit zich bevindt, bijvoorbeeld gebaseerd op de locatie die iemand in zijn of haar profiel weergeeft. Vervolgens beweegt de aanvaller in kleine stappen totdat wordt aangegeven dat het doelwit niet meer in de buurt is. Door dit voor drie verschillende richtingen te doen is de locatie te achterhalen tot wel twee meter nauwkeurig.
Kan toch nog steeds. Zolang je een afstand krijgt kan je het berekenen.
vrijdag 9 augustus 2024, 11:18 door Redactie
https://www.security.nl/posting/853163/Mozilla+en+Amnesty+willen+opheldering+Bumble+over+verkoop+data
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Information Security Officer
Ben jij de Information Security Officer met hart voor de zorg? Wil je een bijdrage leveren aan Informatiebeveiliging binnen het Erasmus MC? Word onderdeel van ons team! Samen met de CISO en een team van Information Security Officers zorg je ervoor dat informatiebeveiliging en gegevens-bescherming binnen Erasmus MC de benodigde aandacht krijgt.
GRC Officer
Als digitaal knooppunt hebben wij te maken met veel verschillende opdrachtgevers en klanten in het zorgveld. Deze opdrachtgevers en klanten vertrouwen erop dat de onze dienstverlening veilig is en continu voldoet aan alle (voortdurende wijzigende) relevante wet- en regelgeving. Als GRC Officer ben jij op de hoogte van die wet- en regelgeving en weet je de vertaalslag te maken naar de praktijk van VECOZO.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.