多くの位置情報ベースの出会い系アプリは、ユーザー名と公式 API だけを使って、ユーザーのリアルタイムの位置を追跡することができます…

この問題は、セキュリティ企業 Pen Test Partners (PTP) の研究者によって発見され、彼らはユーザーの居住地、勤務地、交流場所を突き止めることができました。

私たちは4つの主要な出会い系アプリのユーザーを正確に特定し追跡することができ、1,000万人のユーザーが危険にさらされる可能性があります[…]

これらのアプリの多くは、プロフィールの順序付きリストを返し、多くの場合、アプリのUI自体に距離が表示されます。偽装された位置情報（緯度と経度）を提供することで、複数の地点からこれらのプロフィールまでの距離を取得し、そのデータを三角測量して[…]、その人物の正確な位置を返すことが可能になります。

これを実現するために、複数のアプリを1つのビューにまとめたツールを作成しました。このツールを使えば、Grindr、Romeo、Recon、3funのユーザーの位置を特定できます。これらを合わせると、世界中で約1,000万人のユーザー数になります[…]

これらのアプリによって収集され保存される位置データも非常に正確で、緯度/経度の小数点第 8 位まで記録される場合もあります […] 私たちのテストでは、このデータは、オフィスの片側と反対側でこれらのデータ アプリを使用していることを示すのに十分でした。

同社は、ロンドンの機密性の高い場所でアプリユーザーを追跡することで、このことを実証しました。追跡対象には、英国首相官邸であるダウニング街10番地、英国議会、その他の政府機関の建物にいると思われる人物が含まれていました。PTPはこれらのユーザーのユーザー名を編集しました。

この脆弱性は、ストーカー行為の危険に人々をさらすだけでなく、一部のコミュニティのメンバーに他のリスクをもたらす可能性もあります。

英国では、BDSMコミュニティのメンバーが医師、教師、ソーシャルワーカーといった「センシティブ」な職業に就いている場合、職を失うケースがあります。また、LGBT+コミュニティのメンバーであることが暴露されると、従業員の性的指向に関する雇用保護がない米国の多くの州では、職を失う可能性もあります。

しかし、人権状況の悪い国では、LGBT+の人々の居場所を特定することは、逮捕、拘留、さらには処刑されるリスクが高くなります。例えば、LGBT+であることで死刑が執行される国であるサウジアラビアでは、これらのアプリのユーザーの居場所を特定することができました。

アプリ開発者のうち 2 社は肯定的に反応しましたが、他の 2 社は反応しませんでした。

ロメオは1週間以内に返信し、GPSの位置ではなく近くの位置に移動できる機能があると教えてくれました。これはデフォルト設定ではなく、アプリの奥深くまで探して有効にする必要があります。

Reconは12日後に良好な回答を返しました。同社は、位置情報の精度を下げ、「グリッドにスナップ」を使用することで、この問題を「すぐに」解決する予定だと述べました。Reconによると、問題は今週中に修正されたとのことです。

3funは大惨事：グループセックスアプリが位置情報、写真、個人情報を漏洩。ホワイトハウスと最高裁判所でユーザーを特定

Grindrは全く反応しませんでした。以前、位置情報は「正確に」保存されているわけではなく、「地図帳のマス目」のようなものだと言っていました。しかし、私たちは全くそのようなことはしませんでした。Grindrの位置情報データは、私たちのテストアカウントを家や建物まで正確に特定することができました。つまり、私たちがその時点でどこにいたかを正確に特定できたのです。

PTPは、位置情報ベースの出会い系アプリの開発者に対し、精度の低い位置情報データを収集することでユーザーのプライバシーを保護し、スナップ・トゥ・グリッド方式を採用し、ユーザーにリスクを通知し、より一般的な位置情報の特定を選択できるようにするよう求めています。また、AppleとGoogleが出会い系アプリ向けに精度の低い位置情報APIを提供する可能性も示唆しています。

最近の調査によると、出会い系アプリやウェブサイトが現在、カップルが出会う最も一般的な方法となっているそうです。

havebin.com を Google ニュース フィードに追加します。