Arkadaşlık uygulamalarını kullanma aşkı bulmak zaten zorlu bir süreç olabilir. Şimdi, Belçika’daki güvenlik araştırmacıları bu uygulamalardan düzinelercesinin kullanıcıların gizliliğini de tehdit edebileceğini, hassas verilerini ve endişe verici bir şekilde tam konumlarını sızdırabileceğini buldu.
Belçika’daki KU Leuven Üniversitesi’nde araştırmacı olan Karel Dhondt ve Victor Le Pochat, kötü niyetli kişilerin bu uygulamalardan ne tür kullanıcı verileri çıkarabileceğini görmek için 15 konum tabanlı flört uygulamasını analiz etti.
15 uygulamanın hepsinin, insanların kamuya açık profilleri veya kişisel ayarlarında uygulama ile kamuya açık olarak paylaştıklarının ötesinde, “saldırgan tarafından kötüye kullanılabilecek” bir tür hassas kullanıcı verisi sızdırdığı ortaya çıktı. Le Pochat, Dark Reading ile yaptığı bir röportajda, araştırmacıların “hassas” veri tanımını Avrupa Birliği’nin Genel Veri Koruma Yönetmeliği (GDPR)Etnik köken, siyasi görüşler, cinsel yönelim ve/veya cinsiyet, sağlık bilgileri gibi verileri bu kategoriye koyan bir uygulamadır.
“Asıl amacımız, özellikle hangi risklerin olduğunu görmekti [in terms of] “Diğer kullanıcılarla veri paylaşımı,” diyor. “Uygulamada kötü niyetliysem, etrafımdaki kullanıcılar hakkında ne öğrenebilirim?”
Analiz edilen uygulamalar arasında dünya çapında popüler olanlardan bazıları da yer alıyor, örneğin: TinderBumble, Grindr, Badoo, OKCupid, MeetMe ve Hinge gibi uygulamaların yanı sıra Asya’nın TanTan ve Avrupa’nın Meetic gibi belirli bölgelerde popüler olan uygulamalar da yer alıyor.
Hassas Veriler ve Konum Açığa Çıktı
Le Pochat, birisinin uygulamalardan kullanıcı verilerine ne kadar kolay erişebildiğini vurguladı. “Açık olmak gerekirse, sunucuyu hiçbir şekilde hacklemedik,” diye açıklıyor. “Uygulamayı kullanıyorsam, belki biraz daha teknik yeterlilik ile… ve gelen ve giden trafiğe bakıyorsam, bu zaten bu bilgileri sızdırıyor.”
Ayrıca, altı uygulama söz konusu olduğunda (bunlardan üçü iyi bilinen ve yaygın olarak kullanılanlardır: Bumble, Gindr ve Hinge), kötü niyetli bir aktör, Le Pochat’ın söylediğine göre “uygulamayla etkileşime girerek ve mesafelerin nasıl hesaplandığını anlayarak” uygulamayı kullanan birinin tam fiziksel konumunu belirleyebilir.
Araştırmacılar şunları planlıyor: bir makalenin bulgularını açıklamak “Kimlik Hırsızlığı İçin Sola Kaydırın: Konum Tabanlı Arkadaşlık Uygulamalarında Kullanıcı Verilerinin Gizliliğine Yönelik Risklerin Analizi” adlı araştırmaları hakkında, Las Vegas’ta düzenlenecek Black Hat USA 2024 konferansında aynı isimli bir oturumda konuştular.
Dhondt ve Le Pochat daha önce benzer araştırmalar yapmak için iş birliği yapmıştı fitness uygulamalarının nasıl belirlendiğini Strava gibi kullanıcıların hassas konum bilgilerini sızdırıyor, hatta uygulama içi özellikleri kullanarak aktivitelerini belirli alanlarda gizlemek için gizlilik bölgeleri ayarlamış olsalar bile. Bu çalışma 2023’te Black Hat Asia’da sunuldu.
Arkadaşlık uygulamalarının incelenmesi, Dhondt’un konum gizliliğine odaklanan doktora araştırmasından kaynaklandı, özellikle “bu hizmetteki diğer kullanıcılardan konum verilerini çıkarabilirsem” diyor Dark Reading’e. İki araştırmacı daha sonra araştırmalarını, erişebilecekleri diğer veri türlerini görmek için genişletti.
GPS Yöntemi Konumu Belirler
Bir kullanıcının tam konumunu belirlemek için uygulamaları kullanmak amacıyla, bir aktör GPS uydularının konumu nasıl izlediğine benzer olan trilaterasyon adı verilen bir yöntem kullanabilir. Konum tabanlı flört uygulamaları, yakındaki diğer kişilerin potansiyel eşleşmelerini sunmak için birinin şu anda bulunduğu genel bölgeye güvenir.
Araştırmacılar, trilaterasyon kullanarak, kişinin bulunduğu yerden kurbana olan bilinen mesafeyi alıp, uygulama kullanıcısının kesin konumunu değişen doğruluklarla belirleyen kesişim noktalarına sahip bir dizi daire inşa edebildiklerini keşfettiler.
Örneğin Grindr, profillerinde gizli mesafe bilgisi olan kullanıcılar için bile ölçüme göre doğru olan “kesin mesafe trilaterasyon” adı verilen şeyi sağladı. Araştırmacılar, bunun özellikle eşcinsel aktivitenin yasadışı olduğu Mısır gibi ülkelerde, ağırlıklı olarak LGBTQ topluluğu üyeleri tarafından kullanılan uygulamanın kullanıcıları için tehlikeli olabileceğini belirtti.
Dhondt ve Le Pot ayrıca kullanıcılarının konumları için tam mesafeler yerine yuvarlatılmış mesafeler kullanan uygulamalardaki “yuvarlatılmış mesafe trilaterasyonunun” yanı sıra, bir kurbanın olası bir tehdit aktöründen tanımlanmış bir “yakınlık mesafesi” içinde olup olmadığını ikili bir sinyal aracılığıyla gösteren bir oracle kullanan “oracle trilaterasyonunun” da yerini belirleyebildiler. Özellikle Badoo, Bumble, Hinge ve Hily uygulamaları ikincisine karşı hassastı.
Araştırmacılar, bir kişinin bir flört uygulamasındaki tam yerinin, o kişinin bilgisi dışında belirlenmesinin, bu tür senaryolarda gerçekleşen etkileşimlerin samimi doğası nedeniyle, o kişi için fiziksel bir tehdit oluşturabileceğini belirtti.
“İnsanların duygularına ve hislerine gerçekten ulaşan flörtle ilgili olduğu için, herhangi bir gizlilik sızıntısı veya tehlikesi gerçekten daha da kötüleşiyor,” diyor Dhondt. “İnsanlar incinirse, karşılık vermek isteyebilirler. Bu yüzden insanların gizliliğinin ve güvenliğinin bu uygulamalar tarafından iyi bir şekilde korunması önemlidir.”
Trafik Verilerini Açıklıyor
Çeşitli flört uygulamaları aracılığıyla ne kadar kişisel verinin paylaşıldığı açısından, bazı uygulamalar diğerlerinden daha fazla kişisel veri talep ediyor ve paylaşıyor. Araştırmacılar, bir kişinin cihazına otomatik olarak gönderilen ve kötü niyetli bir aktör tarafından kolayca incelenebilen API trafiğini incelemek için uygulamaların perde arkasına baktılar. 15 uygulamanın hepsinin bir tür API’lerinde sızıntı var.
“Çoğu durumda, sunucu uygulama arayüzüne gerekenden daha fazla veri gönderiyor,” diyor Le Pochat. “Belki uygulamada yalnızca kişinin yaşını gösteriyordur, ancak API kişinin tam doğum gününü gösteriyordur.”
Bu verilerin bir kısmı hassas sayılabilir ve bir kişinin flört profilinden bilerek çıkarmış olduğu özel bilgileri ifşa edebilir. Örneğin, Tinder’da kişiler cinsiyetlerini gizli olarak ayarlayabilir. Ancak, “özel bir ikili olmayan cinsiyet ayarlamış olsanız bile, bu da arka plan trafiğine gönderilir ve uygulamada gösterilmese bile herkes tarafından okunabilir,” diyor Le Pochat.
Güvenlik Açıkları Çoğunlukla Düzeltildi
Araştırmacılar, savunmasız uygulamalara sahip tüm şirketlerle iletişime geçti ve trilaterasyona izin veren uygulamalardaki tüm konum sızıntılarının o zamandan beri düzeltildiğini söylediler. Ancak araştırmacılar, bazı şirketlerin sızıntıyı kabul ederken bunun uygulamaların “amaçlanan davranışı” olduğunu iddia etmeleri nedeniyle bazı uygulamaların hala veri sızdırdığını belirtiyor.
Bunun anlamı, dünyanın dört bir yanındaki milyonlarca insanın flört uygulamaları aracılığıyla yabancılarla çok kişisel bilgiler paylaşmasına rağmen, bazı durumlarda bunu yapmamaları gerektiğidir, çünkü tamamen güvenli olmayabilir, diyor Dhondt. İnsanları “paylaştığınız bilgiler konusunda çok bilinçli olmaya” çağırdı.
“Uygulamaların insanları daha fazla eşleşme elde etmek için çok fazla bilgi paylaşmaya teşvik ettiğini görüyoruz,” diyor. “Belki de yapmamalılar. [data the apps] “Sahip olmazlarsa sızdıramazlar.”