Bumble- en happn-gebruikers waren tot op twee meter te lokaliseren
Verschillende problemen bij locatiegebaseerde datingapps, waaronder Bumble en happn, maakte het mogelijk om de locatie van gebruikers tot op twee meter nauwkeurig te achterhalen. Dat ontdekten onderzoekers van de KU Leuven, zo staat in hun onderzoekersrapport: "Swipe Left for Identity Theft: An Analysis of User Data Privacy Risks on Location-based Dating Apps" (pdf). De betreffende apps: Badoo, Bumble, Grindr, happn, Hinge en Hily, hebben de problemen opgelost.
De datingapps beschikken over de min of meer exacte locatie van gebruikers, maar geven die niet weer aan andere gebruikers. De onderzoekers ontdekten echter verschillende methodes om deze locatie toch te achterhalen. In het geval van Grindr wisten de onderzoekers door middel van trilateratie de locatie van gebruikers tot op 111 meter te bepalen. Bij trilateratie worden drie punten genomen en hun afstand tot het doelwit berekend.
"We ontdekten een nieuwe manier waarmee met slechts één account de afstand is af te leiden, door iteratief de minimale afstandsparameter van de grid retrieval endpoint te manipuleren. Dit maakt exacte afstandstrilaterie mogelijk, zelfs bij gebruikers met verborgen afstanden", aldus de onderzoekers. Vanwege het risico voor gebruikers om ontdekt te worden verbergt Grindr in sommige landen standaard de afstand van gebruikers tot elkaar.
In het geval van happn ontdekten de onderzoekers dat in de gebruikersinterface een afgeronde afstand wordt weergegeven. De API van de datingapp blijkt echter een veel nauwkeurige afstand te bevatten. In beide gevallen is het mogelijk om door middel van trilateratie de locatie van de gebruiker te achterhalen.
Bij Badoo, Bumble, Hinge en Hily gebruikten de onderzoekers een techniek genaamd 'oracle trilateration'. Een aanvaller moet in dit geval eerst een idee hebben waar het doelwit zich bevindt, bijvoorbeeld gebaseerd op de locatie die iemand in zijn of haar profiel weergeeft. Vervolgens beweegt de aanvaller in kleine stappen totdat wordt aangegeven dat het doelwit niet meer in de buurt is. Door dit voor drie verschillende richtingen te doen is de locatie te achterhalen tot wel twee meter nauwkeurig.
Kan toch nog steeds. Zolang je een afstand krijgt kan je het berekenen.
vrijdag 9 augustus 2024, 11:18 door Redactie
https://www.security.nl/posting/853163/Mozilla+en+Amnesty+willen+opheldering+Bumble+over+verkoop+data
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
