قالت مجموعة من الباحثين إنهم وجدوا أن الثغرات الأمنية في تصميم بعض تطبيقات المواعدة، بما في ذلك تطبيق Bumble and Hinge الشهير، سمحت للمستخدمين الضارين أو الملاحقين بتحديد موقع ضحاياهم على مسافة تصل إلى مترين.
في ورقة أكاديمية جديدة، قام باحثون من الجامعة البلجيكية KU Leuven بتفصيل النتائج التي توصلوا إليها عندما قاموا بتحليل 15 تطبيقًا شائعًا للمواعدة. ومن بين هؤلاء، كان لدى Badoo وBumble وGrindr وhappn وHinge وHily نفس الثغرة الأمنية التي كان من الممكن أن تساعد المستخدم الضار على تحديد الموقع الدقيق تقريبًا لمستخدم آخر، وفقًا للباحثين.
على الرغم من أن أيًا من هذه التطبيقات لا يشارك المواقع المحددة عند عرض المسافة بين المستخدمين في ملفاتهم الشخصية، إلا أنهم استخدموا المواقع الدقيقة لميزة “المرشحات” للتطبيقات. بشكل عام، باستخدام المرشحات، يمكن للمستخدمين تخصيص بحثهم عن شريك بناءً على معايير مثل العمر والطول ونوع العلاقة التي يبحثون عنها، والأهم من ذلك، المسافة.
لتحديد الموقع الدقيق للمستخدم المستهدف، استخدم الباحثون تقنية جديدة يطلقون عليها اسم “ثلاثية أوراكل”. بشكل عام، تعمل تقنية التثليث، التي تستخدم على سبيل المثال في نظام تحديد المواقع العالمي (GPS)، عن طريق استخدام ثلاث نقاط وقياس المسافة بينها وبين الهدف. يؤدي هذا إلى إنشاء ثلاث دوائر تتقاطع عند النقطة التي يقع فيها الهدف.
تعمل عملية التثليث في أوراكل بشكل مختلف قليلاً. وكتب الباحثون في ورقتهم البحثية أن الخطوة الأولى للشخص الذي يريد تحديد موقع هدفه هي “تقدير موقع الضحية تقريبًا”، على سبيل المثال بناءً على الموقع المعروض في ملف تعريف الهدف. ثم يتحرك المهاجم تدريجيًا “حتى يشير العرافة إلى أن الضحية لم تعد على مقربة منه، وذلك في ثلاثة اتجاهات مختلفة. كتب الباحثون: “أصبح لدى المهاجم الآن ثلاثة مواقع ذات مسافة محددة معروفة، أي مسافة القرب المحددة مسبقًا، ويمكنه تثليث الضحية”.
وقال كاريل دوندت، أحد الباحثين، لـ TechCrunch: “كان من المفاجئ إلى حد ما أن المشكلات المعروفة لا تزال موجودة في هذه التطبيقات الشائعة”. وفي حين أن هذه التقنية لا تكشف عن الإحداثيات الدقيقة لنظام تحديد المواقع العالمي (GPS) للضحية، “أقول أن مترين قريبان بما يكفي لتحديد هوية المستخدم”، كما قال دوندت.
والخبر السار هو أن جميع التطبيقات التي واجهت هذه المشكلات، والتي تواصل معها الباحثون، قد غيرت الآن كيفية عمل مرشحات المسافة ولم تعد عرضة لتقنية التثليث الثلاثي. وكان الحل، وفقًا للباحثين، هو تقريب الإحداثيات الدقيقة بثلاثة أرقام عشرية، مما يجعلها أقل دقة.
قال دوندت: “يبلغ هذا مستوى عدم اليقين حوالي كيلومتر واحد”.
قال متحدث باسم Bumble إن الشركة “أُطلعت على هذه النتائج في أوائل عام 2023 وحلت المشكلات الموضحة بسرعة”.
صرح دميترو كونونوف، المدير التنفيذي للتكنولوجيا والمؤسس المشارك لشركة Hily، لـ TechCrunch في بيان أن الشركة تلقت تقريرًا عن الثغرة الأمنية في مايو من العام الماضي، ثم أجرت تحقيقًا لتقييم ادعاءات الباحثين.
“تشير النتائج إلى إمكانية محتملة للتثليث. ومع ذلك، من الناحية العملية، كان استغلال ذلك لشن هجمات مستحيلاً. وقال كونونوف: “يرجع ذلك إلى آلياتنا الداخلية المصممة للحماية من مرسلي البريد العشوائي ومنطق خوارزمية البحث لدينا”. “وعلى الرغم من ذلك، فقد شاركنا في مشاورات مكثفة مع مؤلفي التقرير وقمنا بشكل تعاوني بتطوير خوارزميات جديدة للترميز الجغرافي للقضاء تمامًا على هذا النوع من الهجمات. لقد تم تنفيذ هذه الخوارزميات الجديدة بنجاح منذ أكثر من عام حتى الآن.
ولم تستجب Badoo المملوكة لشركة Bumble، ولا Hinge لطلب التعليق.
وقالت كريمة بن عبد الملك، الرئيس التنفيذي والرئيس لشركة Happn، لـ TechCrunch في بيان عبر البريد الإلكتروني إن الباحثين اتصلوا بالشركة العام الماضي.
“بعد مراجعة نتائج البحث من قبل كبير مسؤولي الأمن لدينا، أتيحت لنا الفرصة لمناقشة طريقة التثليث مع الباحثين. ومع ذلك، فإن happn لديه طبقة إضافية من الحماية تتجاوز مجرد تقريب المسافات. “لم تؤخذ هذه الحماية الإضافية في الاعتبار في تحليلهم واتفقنا بشكل متبادل على أن هذا الإجراء الإضافي يجعل تقنية التثليث غير فعالة.”
ووجد الباحثون أيضًا أن الشخص الخبيث يمكنه تحديد موقع مستخدمي Grindr، وهو تطبيق مواعدة شائع آخر، على بعد حوالي 111 مترًا من إحداثياتهم الدقيقة. وفي حين أن هذا أفضل من مترين التي تسمح بها التطبيقات الأخرى، إلا أنه لا يزال من الممكن أن يكون خطيرًا، وفقًا للباحثين.
وقال دوندت: “نرى أن 111 مترًا، وهي المسافة المقابلة لهذه الدقة، ليست كافية في المناطق ذات الكثافة السكانية المنخفضة”.
يجعل Grindr من المستحيل الذهاب إلى أقل من 111 مترًا لأنه يقوم بتقريب المواقع الدقيقة للمستخدمين بثلاثة أرقام عشرية. وعندما تواصلوا مع Grindr، قالت الشركة إن هذه ميزة وليست خطأ، وفقًا للباحثين.
قالت كيلي بيترسون ميراندا، مديرة الخصوصية في Grindr، في بيان: “بالنسبة للعديد من مستخدمينا، Grindr هي الشكل الوحيد للاتصال بمجتمع LGBTQ+، والقرب الذي توفره Grindr لهذا المجتمع أمر بالغ الأهمية في توفير القدرة على التفاعل مع أقرب الناس إليهم.”
وقال ميراندا: “كما هو الحال مع العديد من الشبكات الاجتماعية وتطبيقات المواعدة القائمة على الموقع، يتطلب Grindr معلومات معينة عن الموقع من أجل ربط مستخدميه بالأشخاص القريبين”، مضيفًا أنه يمكن للمستخدمين تعطيل المسافة الخاصة بهم ليتم عرضها إذا أرادوا ذلك. “يتحكم مستخدمو Grindr في معلومات الموقع التي يقدمونها.”