mardi, novembre 19, 2024

Des chercheurs belges ont découvert une énorme faille de confidentialité dans six applications de rencontres

TechCrunch Des chercheurs de l’université KU Leuven en Belgique ont identifié six applications de rencontre populaires que des utilisateurs malveillants peuvent utiliser pour localiser avec précision d’autres utilisateurs. Les applications de rencontre, dont Hinge, Happn, Bumble, Grindr, Badoo et Hily, ont toutes présenté une forme de « trilatération » qui pourrait révéler la localisation approximative des utilisateurs, ce qui a incité certaines applications à prendre des mesures et à renforcer leur sécurité, selon l’étude publiée.

Le terme « trilatération » fait référence à une mesure en trois points utilisée dans le GPS pour déterminer la distance relative par rapport à une cible. Les six applications citées se répartissent en trois catégories de « trilatération », notamment la « trilatération à distance exacte » dans laquelle une cible est précise sur « au moins un carré de 111 m sur 111 m (à l’équateur) », la « trilatération à distance ronde » ou la « trilatération oracle » dans laquelle des filtres de distance sont utilisés pour approximer une zone arrondie, un peu comme un diagramme de Venn.

Grindr est « sujet à une trilatération de distance exacte » tandis que Happn relève de la « trilatération de distance arrondie ». Les quatre autres relèvent de la « trilatération d’oracle » malgré le fait que Hinge et Hily cachent les distances de leurs utilisateurs, selon l’article.

Karel Dhondt, l’un des chercheurs impliqués dans l’étude, a déclaré TechCrunch qu’un utilisateur malveillant pourrait localiser un autre utilisateur jusqu’à « 2 mètres » de distance en utilisant la trilatération Oracle. Cette méthode implique que l’utilisateur malveillant se base sur une estimation approximative de l’emplacement de la victime en fonction de son profil et se déplace par incréments jusqu’à ce que la victime ne soit plus à proximité le long de trois positions différentes et triangule les données jusqu’à un seul endroit.

Gabrielle Ferree, vice-présidente de la communication mondiale de Bumble, a déclaré au site Web que l’entreprise avait « rapidement résolu les problèmes évoqués » avec son filtre de distance l’année dernière. Dmytro Kononov, cofondateur et directeur technique de Hily, a déclaré dans un communiqué qu’une enquête avait révélé « une possibilité potentielle de trilatération » mais qu’« exploiter cela pour des attaques était impossible ».

Karima Ben Adelmalek, PDG et présidente de Happn, a déclaré TechCrunch Ils ont discuté de la trilatération avec les chercheurs belges. Il affirme qu’une couche de protection supplémentaire conçue pour empêcher la trilatération « n’a pas été prise en compte dans leur analyse ».

Kelly Peterson Miranda, responsable de la confidentialité chez Grindr, a indiqué que les utilisateurs peuvent désactiver l’affichage de la distance à partir de leur profil. Elle a également souligné que « les utilisateurs de Grindr contrôlent les informations de localisation qu’ils fournissent ». Hingr n’a pas répondu par un commentaire.

D’autres applications de rencontre ont pris des mesures supplémentaires pour s’assurer que leurs utilisateurs parlent à de vraies personnes et non à des robots spammeurs ou à de faux comptes. Tinder a commencé à demander aux utilisateurs en février aux États-Unis, au Royaume-Uni, au Brésil et au Mexique de télécharger une copie d’un permis de conduire ou d’un passeport officiel ainsi qu’un selfie vidéo dans le cadre d’un nouveau système avancé de vérification d’identité.

Mise à jour, 31 juillet, 19h55 HE : L’article a été mis à jour pour supprimer la déclaration selon laquelle Badoo n’a pas répondu à une demande de commentaire. Badoo étant la propriété de Bumble, la déclaration de Gabrielle Ferree, vice-présidente de Bumble, couvre les deux marques.

Source-145

- Advertisement -

Latest