研究人員發(fā)現(xiàn),Grindr、Romeo、Recon和3fun這些約會軟件只要知道用戶名,就能暴露用戶的確切位置。
四款廣受歡迎的約會軟件被發(fā)現(xiàn)泄露用戶的精確位置,這四款軟件的用戶數(shù)量加在一起可以達(dá)到1000萬。
Pen Test Partners的研究員Alex Lomas周日在博客中解釋道:“只要知道一個人的用戶名,我們就可以從家里到辦公室一直追蹤他們。我們可以找到他們在哪里社交和閑逛。而且?guī)缀跏菍崟r的?!?/p>
該公司開發(fā)了一個工具,可以收集Grindr、Romeo、Recon和3fun用戶的信息。它使用虛擬位置(緯度和經(jīng)度)從多個點檢索到用戶資料的距離,然后對數(shù)據(jù)進(jìn)行三角測量,以返回特定人員的精確位置。
對于Grindr,位置還可以更精確,除了三邊位置以外,還增加了海拔參數(shù)。
Lomas說:“我們能夠利用的三邊/三角定位信息完全來自于這些軟件所設(shè)計的公共可訪問精確位置指示器的使用?!?/p>
他還發(fā)現(xiàn),這些應(yīng)用程序收集和存儲的位置數(shù)據(jù)也非常精確——某些情況下甚至可以達(dá)到經(jīng)緯度的小數(shù)點后8位。
Lomas指出,這類地點泄露的風(fēng)險可能會根據(jù)你的情況而有所不同,尤其是對LGBT+群體和人權(quán)實踐薄弱國家的人來說風(fēng)險更高。
Lomas寫道:“除了讓自己暴露在跟蹤狂、前任和犯罪分子面前,去匿名化還可能導(dǎo)致嚴(yán)重的后果。在英國,如果BDSM(綁縛與調(diào)教、支配與臣服、施虐與受虐)群體成員碰巧從事醫(yī)生、教師或社會工作者等‘敏感’職業(yè),他們就會失業(yè)。作為LGBT+群體的一員被曝光,還可能導(dǎo)致你在美國許多沒有針對雇員性取向就業(yè)保護(hù)的州的工作受到影響?!?/p>
他補(bǔ)充說:“在人權(quán)記錄不佳的國家,如果能夠確定LGBT+群體的實際位置,就有很高的被逮捕、拘留甚至處決的風(fēng)險。例如,我們能夠在沙特阿拉伯找到使用這些軟件的用戶,而沙特阿拉伯仍然會因為你是LGBT+而將你判處死刑?!?/p>
Vectra的安全分析主管Chris Morales稱,如果有人擔(dān)心自己被定位,但卻依然第一時間選擇將位置信息分享給約會軟件,這其中存在很大的問題。
他說:“你以為約會軟件的全部目的就單純是讓你被發(fā)現(xiàn)嗎?任何使用約會軟件的人都沒有真正地隱藏自己,他們甚至使用基于近距離的約會功能。比如,有些軟件會告訴你,你和另一個可能感興趣的人離的很近?!?/p>
他補(bǔ)充道:“至于一個政權(quán)或國家如何使用一款軟件來定位他們不喜歡的人,這也是個值得考慮的問題。如果有人在躲避政府,你難道不認(rèn)為不把你的信息透露給私人公司將是一個良好的開端嗎?”
眾所周知,約會軟件擁有收集并保留用戶分享信息的權(quán)利。例如,ProPrivacy今年6月的一項分析發(fā)現(xiàn),包括Match和Tinder在內(nèi)的約會軟件收集了用戶的一切信息,從聊天內(nèi)容到財務(wù)數(shù)據(jù),然后他們會分享這些信息。他們的隱私政策也保留與廣告商和其他商業(yè)伙伴共享個人信息的權(quán)利。問題是用戶常常不知道這些隱私條款。
此外,除了這些軟件本身允許向他人泄露信息的隱私做法外,它們還常常是數(shù)據(jù)竊賊的攻擊目標(biāo)。今年7月,LGBQT約會軟件Jack 'd因泄露用戶個人數(shù)據(jù)和裸照而被罰款24萬美元。今年2月,Coffee Meets Bagel和OK Cupid都承認(rèn)存在數(shù)據(jù)泄露問題,因為黑客竊取了用戶憑證。
Morales表示,人們?nèi)狈ξkU的認(rèn)知意識。他補(bǔ)充說:“能夠使用約會軟件來定位某個人對我來說并不奇怪。我敢肯定,還有很多其他軟件也會泄露我們的位置信息。使用通過收集個人信息來做廣告的軟件沒有匿名性可言。社交媒體也是如此。唯一安全的方法就是一開始就不透露個人信息。”
Pen Test Partners聯(lián)系了不同的軟件開發(fā)商,詢問他們的對此的看法。Lomas說,他們的反應(yīng)各不相同。例如,Romeo說它允許用戶顯示附近的位置,而不是GPS定位(但這不是默認(rèn)設(shè)置)。Recon在收到通知后將會使用“對齊到網(wǎng)格”的位置模糊策略,其中個人的位置會被四舍五入或“對齊”到最近的網(wǎng)格中心。Lomas說:“這樣一來,距離仍然有用,但模糊了用戶的真實位置。”
研究人員發(fā)現(xiàn)Grindr可以泄露一個非常精確的位置,但Grindr沒有對此做出回應(yīng)。Lomas說,3fun的信息泄露“就像一列火車失事:Group性愛軟件泄露了用戶的一系列信息,包括地點、照片和個人細(xì)節(jié)等?!?/p>
他補(bǔ)充說:“有一些技術(shù)手段可以混淆一個人的精確位置,同時仍然讓基于位置的日期可用。例如,收集和存儲精度較低的數(shù)據(jù):使用的緯度和經(jīng)度只精確到小數(shù)點后三位,這大致相當(dāng)于一個街道或社區(qū)的精度水平?;蛘呤褂脤R網(wǎng)格策略來模糊用戶位置。除此之外,在軟件首次發(fā)布時,軟件開發(fā)商就需要告知用戶這些風(fēng)險,并讓他們真正自己來選擇如何使用自己的位置數(shù)據(jù)?!?/p>
AD:還在為資金緊張煩惱嗎?獵云銀企貸,全面覆蓋京津冀地區(qū)主流銀行及信托、擔(dān)保公司,幫您細(xì)致梳理企業(yè)融資問題,統(tǒng)籌規(guī)劃融資思路,合理撬動更大杠桿。填寫只需兩分鐘,剩下交給我們!詳情咨詢微信:zhangbiner870616 (來源:獵云網(wǎng))
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長
- 特斯拉CEO馬斯克身家暴漲,穩(wěn)居全球首富寶座
- 阿里巴巴擬發(fā)行 26.5 億美元和 170 億人民幣債券
- 騰訊音樂Q3持續(xù)穩(wěn)健增長:總收入70.2億元,付費用戶數(shù)1.19億
- 蘋果Q4營收949億美元同比增6%,在華營收微降
- 三星電子Q3營收79萬億韓元,營業(yè)利潤受一次性成本影響下滑
- 賽力斯已向華為支付23億,購買引望10%股權(quán)
- 格力電器三季度營收同比降超15%,凈利潤逆勢增長
- 合合信息2024年前三季度業(yè)績穩(wěn)健:營收增長超21%,凈利潤增長超11%
- 臺積電四季度營收有望再攀高峰,預(yù)計超260億美元刷新紀(jì)錄
- 韓國三星電子決定退出LED業(yè)務(wù),市值蒸發(fā)超4600億元
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。