Бесплатно Экспресс-аудит сайта:

15.06.2023

Приложение для онлайн-знакомств WhosHere собирает данные о местоположении пользователей с пугающей точностью

Исследователи из компании PentestPartners обнаружили интересную уязвимость в популярном за рубежом приложении для онлайн-знакомств под названием WhosHere . Как и в любом подобном приложении для полноценной работы сервис собирает данные о местоположении пользователей, чтобы вычислять их примерное расстояние друг от друга, таким образом значительно улучшая систему подбора и рекомендаций.

Однако, как выяснили исследователи, в платной версии WhosHere, представляющей из себя отдельное приложение под названием WhosHere Plus, разработчики почему-то применили непривычный способ определения местоположения пользователей.

Так называемая «трилатерация» — это метод определения местоположения объекта на основе измерения расстояний до трёх известных точек. При таком подходе измеряется расстояние от объекта до каждой известной точки, а затем с помощью математических вычислений определяется его точное местоположение.

В случае с WhosHere Plus приложение использует GPS для определения начальной геолокации устройства (точность до 10 метров) и передаёт эту информацию на серверы WhosHere. То же самое происходит с устройствами других пользователей поблизости, после чего сервер использует трилатерацию, то есть измеряет расстояние между этими устройствами, получая крайне точную геопозицию каждого из них. Причём настолько точную, что человек, обладающий этими данными сможет найти потенциальную цель даже в плотной толпе людей.

Однако такая информация не может попасть в руки заинтересованных лиц, и даже сотрудники WhosHere не имеют к ней доступ. Верно? Не совсем.

В прошлом году с PentestPartners связались журналисты BBC , утверждавшие, что египетская полиция выслеживала лиц нетрадиционной сексуальной ориентации (в Египте ЛГБТ преследуется по закону) через различные приложения для онлайн-знакомств, поддерживающих аналогичные методы определения местоположения пользователей. Журналисты попросили специалистов разобраться, подвержен ли сервис WhosHere аналогичной уязвимости. Как оказалось, действительно подвержен.

Исследователи выяснили, что API-запросы к базе данных WhosHere может выполнить, фактически, любой технически подкованный желающий, и получить не только точное местоположение конкретного человека, но и остальные данные из его профиля: имя, описание, пол, возраст, фотографии и даже время последнего посещения. Соответственно, этими данными может воспользоваться как полиция, так и потенциальные мошенники, сталкеры и подобные личности.

После официального обращения исследователей PentestPartners в WhosHere компания внедрила некоторые защитные меры в приложение, однако их эффективность крайне сомнительна.

Так, разработчики ввели обязательную проверку сертификатов между устройством и сервером, что должно сделать данные более устойчивыми к перехвату, однако специалисты всё равно смогли обойти эту меру и перехватить данные. А в более поздних версиях приложения разработчики вовсе отказались от сбора точного местоположения, округляя полученные данные, но за счёт трилатерации вычислить геопозицию человека, пусть и не настолько точную, всё ещё не составляло труда.

После публикации результатов вышеупомянутого исследования можно смело сказать, что сервис онлайн-знакомств WhosHere до сих пор ставит под угрозу безопасность и конфиденциальность своих пользователей.

Обработка данных о местоположении, особенно в приложениях для знакомств, должна осуществляться с крайней осторожностью. Многие разработчики не учитывают возможные риски, думая в первую очередь о функциональности и удобстве, в то время как простые пользователи могут от этого пострадать, причём как психологически, так и физически.

Проблема с перехватом данных из подобных приложений не нова. Пару лет назад сервис онлайн-знакомств Bumble так же был в центре скандала из-за возможности злоумышленников определить местоположение любого пользователя. И даже легендарный Tinder, который уйдёт с российского рынка в конце июня, страдал от подобной проблемы вплоть до 2014 года.

По похожему принципу определения геопозиции работает и Apple AirTag, который определяет местоположение метки относительно ближайших устройств по Bluetooth . Аксессуар многократно использовался злоумышленниками не по назначению, из-за чего вызывал жаркие споры касательно приватности и конфиденциальности пользователей. К слову, Google недавно анонсировала использование схожей технологии в связке с Android-устройствами. Будет ли она безопаснее, вопрос остаётся открытым.

Производители приложений и гаджетов, способных определять пользовательское местоположение, явно должны быть гораздо более прозрачными в отношении того, как хранят такие чувствительные данные и управляют связанными с этим рисками.