Um estudo revelou que aplicativos de relacionamento como Bumble e Hinge colocam a segurança de seus usuários em risco, permitindo que perseguidores descubram a localização dos usuários com uma precisão de até dois metros.
A pesquisa, realizada por investigadores da Universidade KU Leuven, na Bélgica, analisou 15 aplicativos de relacionamento baseados em localização. Entre os aplicativos avaliados estavam Badoo, Bumble, Grindr, happn, Hinge e Hily, todos compartilhando a mesma vulnerabilidade, que poderia ser explorada por um usuário mal-intencionado para identificar a localização quase exata de outro usuário.
Vulnerabilidade nos Aplicativos
Os investigadores descobriram que, embora os aplicativos não compartilhassem diretamente as localizações exatas nos perfis dos usuários, utilizavam dados precisos para funções de “filtros” dentro dos apps. Esses filtros permitem aos usuários personalizar a busca de parceiros com base em critérios como idade, altura, tipo de relacionamento desejado e, crucialmente, a distância.
Como os Perseguidores Podem Encontrar Usuários
Para identificar a localização exata de um usuário-alvo, os investigadores usaram uma técnica chamada “trilateração de oráculo”. Este sistema, semelhante ao usado no GPS, funciona utilizando três pontos e medindo a distância relativa ao alvo, criando três círculos que se interceptam no ponto onde o alvo está.
O atacante estima inicialmente a localização aproximada da vítima com base nas informações disponíveis no perfil. Em seguida, desloca-se em incrementos até que o “oráculo” indique que a vítima já não está mais na proximidade, repetindo esse processo em três direções diferentes. Assim, o atacante obtém três posições com uma distância exata conhecida e pode vinculá-las para obter a localização da vítima.
Reações e Medidas Tomadas
Karel Dhondt, um dos investigadores, disse que, embora essa técnica não revele as coordenadas GPS exatas da vítima, “dois metros é suficientemente próximo para localizar o usuário”.
Após serem contatadas pelos investigadores, todas as aplicações que apresentavam esses problemas já modificaram o funcionamento dos filtros de distância para evitar a vulnerabilidade à trilateração de oráculo.
Gabrielle Ferree, vice-presidente de comunicações globais da Bumble, indicou que a empresa foi informada dessas descobertas no início de 2023 e resolveu rapidamente os problemas descritos. Dmytro Kononov, CTO e cofundador da Hily, comentou que a empresa recebeu um relatório sobre a vulnerabilidade em maio de 2023 e conduziu uma investigação para avaliar as afirmações dos pesquisadores. Embora os achados indicassem uma possibilidade potencial de trilateração, Kononov destacou que, na prática, explorá-la para ataques era impossível devido aos mecanismos internos projetados para proteger contra spammers e à lógica do algoritmo de busca.
Medidas de Proteção Contra Esses Riscos
Aplicativos de relacionamento baseados em localização permitem que os usuários conheçam pessoas próximas e estabeleçam relacionamentos. No entanto, o compartilhamento de dados pessoais e sensíveis nessas plataformas apresenta riscos significativos. Atacantes podem utilizar a informação obtida de maneira legítima através da plataforma para perseguir, extorquir ou até cometer crimes graves contra os usuários.
A exposição de dados pessoais como nome, idade, orientação sexual e outros atributos sensíveis pode levar a violações da privacidade e ameaças à segurança pessoal. Para mitigar esses riscos, os investigadores recomendam que as plataformas apliquem as seguintes medidas de segurança:
- Maior controle do usuário: os aplicativos devem permitir que os usuários controlem com maior precisão quais dados compartilham e com quem.
- Minimização de dados: reduzir a coleta de dados para melhorar a privacidade do usuário.
- Fortalecimento das APIs: prevenir vazamentos de dados por meio do fortalecimento das APIs.
Além disso, é fundamental que os aplicativos de relacionamento informem claramente aos usuários sobre os riscos de compartilhar dados pessoais e lhes forneçam ferramentas para proteger sua privacidade. Apesar de algumas plataformas oferecerem opções de controle de privacidade, muitas ainda colocam a responsabilidade de proteger a privacidade nos próprios usuários, o que pode não ser suficiente para prevenir abusos.