你的位置被出賣了！四款熱門約會應用近千萬用戶信息泄漏

研究人員發(fā)現(xiàn)，Grindr、Romeo、Recon和3fun這些約會軟件只要知道用戶名，就能暴露用戶的確切位置。

四款廣受歡迎的約會軟件被發(fā)現(xiàn)泄露用戶的精確位置，這四款軟件的用戶數量加在一起可以達到1000萬。

Pen Test Partners的研究員Alex Lomas周日在博客中解釋道：“只要知道一個人的用戶名，我們就可以從家里到辦公室一直追蹤他們。我們可以找到他們在哪里社交和閑逛。而且?guī)缀跏菍崟r的?！?/p>

該公司開發(fā)了一個工具，可以收集Grindr、Romeo、Recon和3fun用戶的信息。它使用虛擬位置（緯度和經度）從多個點檢索到用戶資料的距離，然后對數據進行三角測量，以返回特定人員的精確位置。

對于Grindr，位置還可以更精確，除了三邊位置以外，還增加了海拔參數。

Lomas說：“我們能夠利用的三邊/三角定位信息完全來自于這些軟件所設計的公共可訪問精確位置指示器的使用?！?/p>

他還發(fā)現(xiàn)，這些應用程序收集和存儲的位置數據也非常精確——某些情況下甚至可以達到經緯度的小數點后8位。

Lomas指出，這類地點泄露的風險可能會根據你的情況而有所不同，尤其是對LGBT+群體和人權實踐薄弱國家的人來說風險更高。

Lomas寫道：“除了讓自己暴露在跟蹤狂、前任和犯罪分子面前，去匿名化還可能導致嚴重的后果。在英國，如果BDSM（綁縛與調教、支配與臣服、施虐與受虐）群體成員碰巧從事醫(yī)生、教師或社會工作者等‘敏感’職業(yè)，他們就會失業(yè)。作為LGBT+群體的一員被曝光，還可能導致你在美國許多沒有針對雇員性取向就業(yè)保護的州的工作受到影響?！?/p>

他補充說：“在人權記錄不佳的國家，如果能夠確定LGBT+群體的實際位置，就有很高的被逮捕、拘留甚至處決的風險。例如，我們能夠在沙特阿拉伯找到使用這些軟件的用戶，而沙特阿拉伯仍然會因為你是LGBT+而將你判處死刑?！?/p>

Vectra的安全分析主管Chris Morales稱，如果有人擔心自己被定位，但卻依然第一時間選擇將位置信息分享給約會軟件，這其中存在很大的問題。

他說：“你以為約會軟件的全部目的就單純是讓你被發(fā)現(xiàn)嗎？任何使用約會軟件的人都沒有真正地隱藏自己，他們甚至使用基于近距離的約會功能。比如，有些軟件會告訴你，你和另一個可能感興趣的人離的很近?！?/p>

他補充道：“至于一個政權或國家如何使用一款軟件來定位他們不喜歡的人，這也是個值得考慮的問題。如果有人在躲避政府，你難道不認為不把你的信息透露給私人公司將是一個良好的開端嗎?”

眾所周知，約會軟件擁有收集并保留用戶分享信息的權利。例如，ProPrivacy今年6月的一項分析發(fā)現(xiàn)，包括Match和Tinder在內的約會軟件收集了用戶的一切信息，從聊天內容到財務數據，然后他們會分享這些信息。他們的隱私政策也保留與廣告商和其他商業(yè)伙伴共享個人信息的權利。問題是用戶常常不知道這些隱私條款。

此外，除了這些軟件本身允許向他人泄露信息的隱私做法外，它們還常常是數據竊賊的攻擊目標。今年7月，LGBQT約會軟件Jack 'd因泄露用戶個人數據和裸照而被罰款24萬美元。今年2月，Coffee Meets Bagel和OK Cupid都承認存在數據泄露問題，因為黑客竊取了用戶憑證。

Morales表示，人們缺乏對危險的認知意識。他補充說：“能夠使用約會軟件來定位某個人對我來說并不奇怪。我敢肯定，還有很多其他軟件也會泄露我們的位置信息。使用通過收集個人信息來做廣告的軟件沒有匿名性可言。社交媒體也是如此。唯一安全的方法就是一開始就不透露個人信息?！?/p>

Pen Test Partners聯(lián)系了不同的軟件開發(fā)商，詢問他們的對此的看法。Lomas說，他們的反應各不相同。例如，Romeo說它允許用戶顯示附近的位置，而不是GPS定位（但這不是默認設置）。Recon在收到通知后將會使用“對齊到網格”的位置模糊策略，其中個人的位置會被四舍五入或“對齊”到最近的網格中心。Lomas說：“這樣一來，距離仍然有用，但模糊了用戶的真實位置。”

研究人員發(fā)現(xiàn)Grindr可以泄露一個非常精確的位置，但Grindr沒有對此做出回應。Lomas說，3fun的信息泄露“就像一列火車失事：Group性愛軟件泄露了用戶的一系列信息，包括地點、照片和個人細節(jié)等。”

他補充說：“有一些技術手段可以混淆一個人的精確位置，同時仍然讓基于位置的日期可用。例如，收集和存儲精度較低的數據：使用的緯度和經度只精確到小數點后三位，這大致相當于一個街道或社區(qū)的精度水平。或者使用對齊網格策略來模糊用戶位置。除此之外，在軟件首次發(fā)布時，軟件開發(fā)商就需要告知用戶這些風險，并讓他們真正自己來選擇如何使用自己的位置數據?！?/p>

AD：還在為資金緊張煩惱嗎？獵云銀企貸，全面覆蓋京津冀地區(qū)主流銀行及信托、擔保公司，幫您細致梳理企業(yè)融資問題，統(tǒng)籌規(guī)劃融資思路，合理撬動更大杠桿。填寫只需兩分鐘，剩下交給我們！詳情咨詢微信：zhangbiner870616 (來源：獵云網)

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現(xiàn)的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。