出会い系アプリ誰かのロマンチックな夢だけではなく、脆弱な情報の開示をユーザーに要求します。ほとんどの場合、これらのアプリには名前、年齢、場所などの個人データが必要です。後者の場合、新しい論文では、一時的にいくつかの主要なアプリが潜在的な敵対者によってユーザーの位置情報が公開される可能性があったことが詳しく説明されています。
出会い系アプリの位置情報の脆弱性
ベルギーのルーヴェン大学の新しい論文では、「左にスワイプすると個人情報が盗まれます,」研究者らは、少なくとも1,000万ダウンロードを誇る15の位置情報ベースの出会い系アプリ(LBD)の潜在的なプライバシーリスクを分析した。最近の出会い系アプリは、ユーザーが物理的に近い相手を見つけるのを助けるために、通常、位置情報に基づいている。ただし、ユーザーは潜在的なリスクにさらされることになります。
1 つを除くすべてのアプリは、位置情報の測定にユーザー間の距離を使用しました。 (ただし、アジアの出会い系アプリである TanTan は、マッチング時に 1 回だけ正確な座標を使用し、一致した場合にのみ使用しました。)「しかし、十分な保護が欠如しているため、距離の利用可能性は依然としてユーザーの推定につながる可能性があります。」場所」と論文は述べている。 「これは三辺測量によって行われます。」
三辺測量3 つの三角形 (または円または球)。位置を特定するために使用される三辺測量アプリにはさまざまな種類があります。著者であるカレル・ドント、ヴィクトル・ル・ポシャ、ヤナ・ディモヴァ、ワウター・ヨーセン、スタイン・ヴォルカールトは、次のことができることを発見しました。15 アプリのうち 6 アプリでほぼ正確な位置を特定TechCrunchが報じたように。
どの出会い系アプリに位置情報の脆弱性がありましたか?
最も一般的な脆弱性は「オラクル三辺測量」によるもので、論文では次のように説明されています。オラクルこれは、被害者が近くにいるかどうか、つまり、被害者が攻撃者から定義された「近接距離」内にいるかどうかをバイナリ信号を通じて示します。」
Hinge、Bumble、Badoo (Bumble が所有)、および Hily は、そのような三辺測量の影響を受けやすかった。
Hingeの広報担当者はMashableに次のように語った。
マッシャブル・アフター・ダーク
Hinge では、ユーザーの安全とプライバシーが常に最優先事項です。当社のアプリはプライバシーバイデザインのアプローチで構築されており、機密性の高いユーザーデータを厳密に保護します。私たちは、最先端のバグ報奨金プログラムと研究者との継続的な対話を誇りに思っています。これは、ユーザーに損害が発生する前に調整できるように、コメントを集めるように設計されています。私たちは、2023 年初めにこの研究チームからフィードバックを受け取ったときにそれを検討し、必要に応じて直ちに措置を講じました。
あBumbleの広報担当者はTechCrunchの両方に語った。「当社はこれらの調査結果を2023年の初めに認識し、記載された問題を迅速に解決しました。当社は世界中の国々に会員を抱えるグローバル企業として、ユーザーのプライバシーの保護に努め、グローバルなアプローチを採用しています」プライバシーの遵守に向けて。」
この声明はBadooにも当てはまります、とBumble氏はMashableに語った。
Hily の CTO 兼共同創設者である Dmytro Kononov 氏は、次の声明を TechCrunch に共有しました。
この発見は、三辺測量の潜在的な可能性を示しました。しかし、実際にはこれを攻撃に悪用することは不可能でした。これは、スパム送信者から保護するために設計された内部メカニズムと検索アルゴリズムのロジックによるものです...それにもかかわらず、私たちはレポートの著者と広範な協議を行い、この種の攻撃を完全に排除するための新しいジオコーディング アルゴリズムを共同開発しました。これらの新しいアルゴリズムは、1 年以上にわたって正常に実装されてきました。
Grindr は「正確な距離の三辺測量」に対して脆弱でした。これは、サービスが他のユーザーとの正確な距離を明らかにする場合に実行できます。著者らは、111 メートル (約 364 フィート) まで近いユーザーの位置を把握することができました。安全上の理由から Grindr がすべてのユーザーの位置を隠しているエジプトなど、距離が隠されている場合でも、正確な距離の三辺測量が可能でした。
「Grindrがこのコミュニティに提供する親密さは、最も近い人々と対話する機能を提供する上で最も重要である、とGrindrの最高プライバシー責任者のケリー・ピーターソン・ミランダ氏はTechCrunchに語った。」「多くの位置情報ベースのソーシャルネットワークや出会い系アプリの場合と同様、Grindrは次のことを要求している」ユーザーを近くのユーザーと結び付けるために、特定の位置情報を提供します...Grindr ユーザーは、提供する位置情報を制御できます。」
最後に、アプリは「四捨五入距離の三辺測量」に対して脆弱でした。これは、アプリが予防策として丸められた位置を使用する場合に実行される可能性があります。 happnのCEO兼社長であるカリマ・ベン・アブデルマレク氏はTechCrunchに次のように語った。
当社の最高セキュリティ責任者が研究結果を検討した後、研究者と三辺測量法について話し合う機会がありました。しかし、happn には距離の四捨五入以外にも追加の保護層があります...この追加の保護は分析では考慮されておらず、happn のこの追加措置によって三辺測量技術が無効になるという点で私たちは相互に同意しました。
Grindr を除き、これらの脆弱性のあるアプリについては、悪意のある者が三辺測量を使用してユーザーの位置を特定することを阻止するための措置を講じているようです。
脆弱ではなかった出会い系アプリはどれですか?
同紙によると、TinderとLOVOOは三辺測量を防ぐために「グリッドスナップ」を使用していたという。グリッドスナップ自分の位置を正方形のグリッドに分割する手法です。座標 (別名ユーザーのいる場所) がこれらの正方形の中心 (Tinder) または右側 (LOVOO) に移動され、そこからの距離が測定されます。したがって、それらの実際の距離は不正確であり、三辺測量することはできません。
多くの Fish と Meetic は GPS 位置情報にアクセスしません。 MeetMe、Tagged、および OkCupid はこの情報にアクセスしますが、情報を最寄りの町に変換します。作成者は TanTan と Jaumo に必要な情報をリバース エンジニアリングできなかったため、この方法をテストしてユーザーの位置を見つけることができませんでした。
この論文は、出会い系アプリを使用する際の注意の重要性を示しています。この文書は結論として、「私たちがこれらの問題を認識することで、LBD アプリプロバイダーがデータ収集の実践を再考し、API [アプリケーション プログラミング インターフェイス] を保護するようになることを願っています」と述べています。 データ漏洩を防止し、位置推定を防止し、ユーザーが自分のデータを制御できるようになり、最終的にはプライバシーを制御できるようになります。」