Zagrożenia prywatności czają się czasem w mało spodziewanych miejscach. W niektórych przypadkach nawet udostępnienie jednej, prostej informacji, może prowadzić do zupełnie nieplanowanego ujawnienia innych, poufnych danych.
Tinder to dość popularna w USA aplikacja randkowa na platformy Apple oraz Android. Umożliwia ona przede wszystkim poznanie osób, które znajdują się w bezpośredniej okolicy oraz są zainteresowane spotkaniem. Program boryka się jednak z problemami z ujawnianiem lokalizacji swoich użytkowników.
Dla wszystkich zwracających uwagę, że w artykule używamy słowa „triangulacja” zamiast „trilateracji”: tak, technicznie macie rację, triangulacja opiera się na znajomości długości jednego boku i dwóch kątów trójkąta, podczas kiedy obliczenia w oparciu o same odległości to trilateracja. Trilateracja zwana jest kolokwialnie triangulacją, zatem używamy tego drugiego terminu.
Przecież już nie udostępniamy lokalizacji
Choć interfejs aplikacji jest dość prosty i jedynie informuje użytkownika o odległości, jaka dzieli go od drugiej osoby, to już w lipcu 2013 okazało się, że w tle przesyłane były dokładne współrzędne GPS każdego użytkownika. Wystarczyło ładnie zapytać API, by otrzymać precyzyjną lokalizację każdej osoby zarejestrowanej w aplikacji. Błąd ten został poprawiony i koordynaty zostały usunięte. Nadal jednak podstawową funkcją było pokazanie odległości dzielącej od drugiego użytkownika.
Na ekranie aplikacji widać wartości wyrażone w milach. Kiedy jednak Maks Veytsman z firmy Include Security zajrzał do treści przesyłanych komunikatów, zobaczył tam nie zaokrąglone wartości wyrażone w milach, a liczby przedstawione z dokładnością do 15 miejsca po przecinku.
Fragment komunikatu aplikacji
Triangulacja w świecie aplikacji
Triangulacja to tradycyjna metoda służąca np. do ustalania źródła nadawania sygnału radiowego, używana chociażby przez Niemców w czasie wojny do lokalizowania polskich nadajników. W dzisiejszych czasach najczęściej stosowana jest do lokalizowania użytkowników telefonów komórkowych. Precyzja triangulacji zależy od dokładności, z jaką jesteśmy w stanie określić odległość od poszukiwanego punktu w każdym w trzech punktów pomiarowych. O ile w przypadku sygnału radiowego nie zawsze możemy osiągnąć dużą dokładność (np. w terenie miejskim sygnał może natrafiać na wiele przeszkód), o tyle w tym przypadku dysponujemy bardzo dokładną odległością, podawaną przez aplikację.
Autorom odkrycia nie pozostało już nic innego, jak stworzyć odpowiednią aplikację, która na podstawie ID użytkownika, który miał być zlokalizowany, zakładała w serwisie 3 konta zlokalizowane w mieście, gdzie miała przebywać ofiara, po czym z każdego z tych kont otrzymywała odległość, podstawiała wartości do odpowiedniego wzoru i wyświetlała bardzo precyzyjną lokalizację ofiary.
Triangulacja na podstawie 3 pomiarów
Producent aplikacji został powiadomiony o problemie i zmienił sposób informowania o odległości od innego użytkownika. Pamiętajcie zatem, ze czasem pozornie niewiele wnoszące dane mogą zostać wykorzystane w sposób, o jakim nie pomyśleliście.
Komentarze
Takie proste takie oczywiste ale sam bym tego nie wymyslil :)
Tylko, że nic nie trzeba tu wymyślać, podobnie jak nie ma potrzeby ponownie wynajdować koła. Postęp zabija czujność