/cdn.vox-cdn.com/uploads/chorus_asset/file/25623451/DSCF0036.jpg?w=120&resize=120,86&ssl=1)
Um grupo de pesquisadores descobriu que vulnerabilidades no design de alguns aplicativos de namoro, incluindo os populares aplicativos Bumble e Hinge, permitiam que usuários mal-intencionados ou perseguidores determinassem a localização de suas vítimas com uma precisão de até dois metros.
Num novo artigo académico, investigadores da Universidade KU Leuven da Bélgica detalharam as suas descobertas ao analisar 15 aplicações de encontros populares. Badoo, Bumble, Grindr, happn, Hinge e Hily tinham a mesma vulnerabilidade, o que poderia ter ajudado um usuário mal-intencionado a determinar a localização quase precisa de outro usuário, disseram os pesquisadores.
Embora nenhum desses aplicativos forneça localizações precisas ao exibir a distância entre os usuários em seus perfis, eles usaram localizações precisas para o recurso de “filtro” dos aplicativos. Em geral, os filtros permitem que os usuários personalizem sua busca de namoro com base em critérios como idade, altura, tipo de relacionamento desejado e, o mais importante, distância.
Para determinar a localização precisa de um usuário-alvo, os pesquisadores usaram uma nova técnica que chamam de “Trilateração Oracle”. Em geral, a trilateração, usada no GPS por exemplo, funciona pegando três pontos e medindo sua distância em relação ao alvo. Isso cria três círculos que se cruzam no ponto onde está o alvo.
A trilateração Oracle funciona de maneira um pouco diferente. Os pesquisadores escreveram em seu artigo que o primeiro passo para a pessoa que deseja determinar a localização do seu alvo é “estimar aproximadamente a localização da vítima”, por exemplo, com base na localização mostrada no perfil do alvo. Em seguida, o agressor avança em etapas “até que o oráculo indique que a vítima não está mais por perto, em três direções diferentes. O atacante agora tem três posições com uma distância precisa conhecida, ou seja, a distância de proximidade pré-selecionada, e pode trilar a vítima”, escreveram os pesquisadores.
“Foi um tanto surpreendente que problemas conhecidos ainda estivessem presentes nesses aplicativos populares”, disse Karel Dhondt, um dos pesquisadores, ao TechCrunch. Embora esta técnica não revele as coordenadas GPS exatas da vítima, “eu diria que dois metros são próximos o suficiente para localizar o usuário com precisão”, disse Dhondt.
A boa notícia é que todos os aplicativos que apresentavam esses problemas e que os pesquisadores contataram agora mudaram o funcionamento dos filtros de distância e não estão mais vulneráveis à técnica de trilateração do Oracle. A solução, segundo os pesquisadores, foi arredondar as coordenadas exatas para três casas decimais, tornando-as menos precisas e exatas.
“A incerteza é de cerca de um quilômetro”, disse Dhondt.
Um porta-voz do Bumble disse que a empresa “foi informada dessas descobertas no início de 2023 e resolveu rapidamente os problemas descritos”.
Dmytro Kononov, CTO e cofundador da Hily, disse ao TechCrunch em comunicado que a empresa recebeu um relatório sobre a vulnerabilidade em maio do ano passado e então conduziu uma investigação para verificar as afirmações dos pesquisadores.
“Os resultados sugeriram uma possibilidade potencial de trilateração. No entanto, na prática, era impossível explorar isto para ataques. Isso se deve aos nossos mecanismos internos de proteção contra spammers e à lógica do nosso algoritmo de busca”, disse Kononov. “No entanto, conduzimos extensas consultas com os autores do relatório e desenvolvemos em conjunto novos algoritmos de geocodificação para eliminar completamente este tipo de ataque. Esses novos algoritmos foram implementados com sucesso há mais de um ano.”
Nem o Badoo, dono do Bumble, nem a Hinge responderam a um pedido de comentário.
Karima Ben Abdelmalek, CEO e presidente da Happn, disse ao TechCrunch em comunicado por e-mail que a empresa foi contatada pelos pesquisadores no ano passado.
“Depois que nosso Diretor de Segurança revisou os resultados da pesquisa, tivemos a oportunidade de discutir o método de trilateração com os pesquisadores. No entanto, o happn tem uma camada adicional de proteção que vai além de apenas percorrer distâncias”, disse Ben Abdelmalek. “Essa proteção adicional não foi considerada em sua análise e concordamos que essa medida adicional, por acaso, torna a técnica de trilateração ineficaz.”
Os pesquisadores também descobriram que uma pessoa mal-intencionada conseguiu localizar usuários do Grindr, outro aplicativo de namoro popular, a uma distância de cerca de 111 metros. Embora seja melhor do que os 2 metros permitidos pelos outros aplicativos, ainda pode ser potencialmente perigoso, segundo os pesquisadores.
“Argumentamos que 111 metros, a distância equivalente que vem com esta precisão, não é suficiente em áreas densamente povoadas”, disse Dhondt.
O Grindr torna impossível ir abaixo de 111 metros porque arredonda a localização exata dos usuários para três casas decimais. E quando entraram em contato com o Grindr, a empresa disse que isso era um recurso, não um bug, disseram os pesquisadores.
Kelly Peterson Miranda, diretora de privacidade do Grindr, disse em comunicado: “Para muitos de nossos usuários, o Grindr é a única maneira de se conectar com a comunidade LGBTQ+. E a proximidade que o Grindr oferece a esta comunidade é fundamental para lhes dar a oportunidade de interagir com as pessoas mais próximas deles.”
“Como muitas redes sociais e aplicativos de namoro baseados em localização, o Grindr exige certas informações de localização para conectar seus usuários com pessoas próximas”, disse Miranda, acrescentando que os usuários podem optar por não exibir sua distância, se desejarem. “Os usuários do Grindr têm controle sobre as informações de localização que fornecem.”
