Bumble和Hinge允许跟踪者将用户位置精确定位到2米，研究人员称

一组研究人员表示，他们发现一些约会应用的设计漏洞，包括流行的Bumble和Hinge，允许恶意用户或跟踪者将受害者的位置精确定位到2米。

在一篇新的学术论文中，比利时鲁汶大学（KU Leuven）的研究人员详细介绍了他们分析了15个流行约会应用时的发现。其中，Badoo、Bumble、Grindr、happy、Hinge和Hily都存在相同的漏洞，可能帮助恶意用户识别另一个用户的位置。

虽然这些应用在显示用户间距离时没有共享精确位置，但它们在“筛选”功能上使用了精确位置。通常情况下，用户可以根据年龄、身高、他们寻找的关系类型以及关键是距离等标准来调整寻找伴侣的搜索。

为了确定目标用户的确切位置，研究人员使用了他们称之为“甲骨文三边”技术。总的来说，三角定位在GPS等位置中使用，通过使用三个点并测量它们相对于目标的距离。这样就创建了三个圆，这些圆在目标所在点相交。

甲骨文三边工作方式略有不同。研究人员在论文中写道，想要识别目标位置的人的第一步“粗略估计受害者的位置”，例如基于目标文件中显示的位置。然后，攻击者按增量移动“直到甲骨文表明受害者不再处于附近，并且在三个不同方向进行操作。攻击者现在有了三个具有已知准确距离的位置，即预选的接近距离，并可以对受害者进行三边定位。

研究人员Karel Dhondt表示：“这些流行应用中仍然存在已知问题有些令人惊讶。”尽管这种技术并未透露受害者的确切GPS坐标，“我认为2米足以精确定位用户。”

好消息是，所有存在这些问题的应用，研究人员联系到的，都已经改变了距离筛选的工作方式，并不容易受到甲骨文三边技术的攻击。根据研究人员的说法，解决方案是将精确坐标四舍五入三位小数，使其不太精确和准确。

“这大约是一公里的不确定性，”Dhondt说。

Bumble的一位发言人表示，公司在2023年早期得知了这些发现，并迅速解决了所述的问题。

Hily的CTO兼联合创始人Dmytro Kononov在一份声明中告诉TechCrunch，公司于去年五月收到了有关此漏洞的报告，然后进行了调查，以评估研究人员的主张。

“发现表明了甲骨文的潜在可能性。然而，在实践中，利用这一点进行攻击是不可能的。这是由于我们的内部机制旨在防范垃圾邮件和搜索算法的逻辑，”Kononov说。“尽管如此，我们与报告作者进行了广泛协商，并共同开发了新的地理编码算法，以完全消除这种攻击。这些新算法现在已经成功实施了一年多。

Badoo未回应评论请求，该公司由Bumble拥有，Hinge亦然。

Happn首席执行官兼总裁Karima Ben Abdelmalek在一封电子邮件声明中告诉TechCrunch，公司去年受到研究人员的联系。

“在我们的首席安全官审查了研究发现后，我们有机会与研究人员讨论三角定位方法。然而，happn除了四舍五入距离以外，还有额外的保护层。”Ben Abdelmalek说。“研究人员没有考虑这种额外保护措施在内的分析，我们一致同意，happn的这种额外措施使三角定位技术失效。”

研究人员还发现，恶意人士可以将另一个流行的约会应用Grindr的用户定位到其精确坐标周围约111米。虽然这比其他应用允许的2米要好，但根据研究人员称，仍可能具有潜在危险。

“我们认为，这种精度对应的距离111米，在人口稠密或稀疏的区域是不够的，”Dhondt说。

Grindr不允许低于111米，因为它通过四舍五入用户的精确位置来确定位置是一个功能，而不是一个bug，根据研究人员的说法。

Grindr的首席隐私官Kelly Peterson Miranda在一份声明中表示，“对于我们的许多用户来说，Grindr是他们与LGBTQ+社区联系的唯一方式，Grindr提供的接近度对他们提供与他们最亲近的人互动的能力至关重要。”

“正如许多基于位置的社交网络和约会应用一样，Grindr需要一定的位置信息才能将用户与附近人连接起来。”Miranda表示，用户可以选择禁用显示他们的距离。“Grindr用户控制他们提供的位置信息。”