title":"BumbleとHingeはスターカーがユーザーの場所を2メートルまで特定できる可能性があると研究者が述べる
ベルギーのKU Leuven大学の研究者グループは、人気のあるBumbleやHingeなどのデートアプリの設計上の脆弱性により、悪意のあるユーザーやストーカーが被害者の場所を2メートルまで特定することができる可能性があると発見したと述べています。
新しい学術論文によると、KU Leuven大学の研究者は、15の人気のデートアプリを分析した際に発見した結果を詳細にしました。その中で、Badoo、Bumble、Grindr、happn、Hinge、Hilyはすべて同じ脆弱性を持っており、悪意のあるユーザーが別のユーザーのほぼ正確な場所を特定するのに役立った可能性があると研究者は述べています。
これらのアプリは、プロフィールに表示されるユーザー間の距離を共有することはないものの、アプリの「フィルター」機能には正確な場所が使用されました。一般的に、フィルターを使用することで、ユーザーは年齢、身長、探している関係の種類、そして重要なことに距離などの基準に基づいてパートナーの検索をカスタマイズすることができます。
標的ユーザーの正確な場所を特定するために、研究者は「オラクル三点測量」と呼ぶ新しい手法を使用しました。一般的に、たとえばGPSで使用される三点測量は、3つのポイントを使用し、それらが標的に対してどのような距離であるかを測定します。これにより、標的が位置する交差点となる3つの円が作成されます。
オラクル三点測定は若干異なります。研究者は、論文で書いています。標的の位置を特定したい人の最初のステップは「被害者の場所をおおよそ推測し、たとえば被害者のプロフィールに表示されている場所に基づいて」と述べています。その後、攻撃者はインクリメントを使って移動します。「オラクルがもはや近くにいないことを示すまで、そしてこれを3つの異なる方向で行います。攻撃者は今、3つの位置を持っており、その位置には既知の正確な距離、つまり事前に選択された近接距離があります。されています。そして標的を三点測量できます。」
「これらの人気のアプリには依然として既知の問題が存在していることはやや驚くべきだった」と、研究者の1人であるKarel DhondtはTechCrunchに語った。この手法は被害者の正確なGPS座標を明らかにはしないが、「2メートルはユーザーを特定するには十分だと言えます」とDhondtは述べています。
良いニュースは、これらの問題を抱えていた全てのアプリが研究者と連絡を取り合い、距離フィルターの仕組みを変更し、オラクル三点測量技術への脆弱性を無くしたことです。研究者によると、修正策は正確な座標を小数点以下3桁に丸めることであり、それにより正確性が低下します。
「これは約1キロメートルの不確かさです」とDhondtは述べています。
Bumbleの広報担当者は、「当社は2023年初頭にこれらの調査結果を把握し、迅速に問題を解決しました」と述べました。
HilyのCTO兼共同創業者であるDmytro Kononovは、昨年5月に脆弱性に関する報告を受け取り、その後、研究者の主張を評価するための調査を行ったとTechCrunchにコメントで述べています。
「調査結果は三点測量の可能性を示唆していました。しかし、実際には攻撃を行うことは不可能でした。これは、スパマーを保護し、検索アルゴリズムのロジックを実装した内部機構によりました」とKononovは述べています。「それにもかかわらず、私たちは報告書の著者と広範囲な協議を行い、この種の攻撃を完全に排除するために新たなジオコーディングアルゴリズムを共同開発しました。これらの新しいアルゴリズムは既に1年以上正常に実装されています。」
BadooはBumbleの所有する企業であり、復帰がないのでコメントはありませんでした。
HappnのCEO兼社長であるKarima Ben Abdelmalekは、昨年研究者から連絡を受けたと電子メールでTechCrunchに語りました。
「調査結果を当社の最高セキュリティ責任者によってレビューした後、研究者と三点測量手法について話し合う機会がありました。しかし、Happnは距離を丸めるという追加の保護層があります」とBen Abdelmalekは述べています。「この追加の保護措置は彼らの分析には考慮されておらず、私たちはお互いに合意しました。この追加の措置がhappnにおいて三点測量手法を無効にする。」
研究者はまた、もう1つの人気のデートアプリであるGrindrのユーザーを、その正確な座標まで約111メートルまで特定できる可能性があると発見しました。これは他のアプリが許可していた2メートルよりは良い結果ですが、研究者によれば依然として潜在的に危険でした。
「我々は、これと一致する距離である111メートルは、密集またはまばらな人口の地域では十分ではないと論じます」とDhondtは述べています。
Grindrは、ユーザーの正確な場所を小数点以下3桁で丸めることで、111メートル以下になることを不可能にしました。そしてGrindrに連絡を取った際、会社はこれが機能でありバグではないと述べました。
Grindrの最高プライバシー責任者であるKelly Peterson Mirandaは声明で、「Grindrは多くのユーザーにとってLGBTQ+コミュニティへの唯一の接続手段であり、Grindrが提供するこのコミュニティへの近接性は、彼らに最も近い人との交流能力を提供するうえで重要です。」と述べ、ユーザーは距離表示を無効にすることができると付け加えました。「Grindrユーザーは提供する場所情報をコントロールしています。」