Bằng cách giả vờ gửi các yêu cầu đến các máy chủ (server) đứng đằng sau các ứng dụng, các nhà nghiên cứu có thể lần theo dấu vết những người di chuyển trong ngày. Một nhà sản xuất phần mềm ứng dụng đã vá lỗ hổng ở một vài quốc gia nhưng hầu hết người dùng trên thế giới vẫn chịu rủi ro, các nhà nghiên cứu cảnh báo.
Chức năng lõi
Các điểm yếu làm rò rỉ vị trí được phát hiện bởi Colby Moore và Patrick Wardle đến từ công ty an ninh mạng Synack. Cặp đôi nhà nghiên cứu tập trung chú ý chủ yếu đến ứng dụng Grindr hẹn hò đồng tính nhưng cảnh báo các ứng dụng hẹn hò khác cũng dễ bị tổn thương theo cách như vậy.
Họ nhận thấy họ có thể khai thác một tính năng của Grindr cho phép xác định những người dùng cách nhau bao xa và họ, những người có đăng ký dịch vụ, đang ở đâu. Ứng dụng cài đặt một số nguồn dữ liệu khác nhau để cung cấp các phép đo rất chính xác về các khoảng cách đó.
Ðể khai thác các lỗ hổng, các nhà nghiên cứu gửi một số yêu cầu đến các máy chủ đứng đằng sau Grindr, mỗi máy chủ dường như đặt ở một vị trí khác nhau. Ðiều này giúp họ nhận được các đánh giá về khoảng cách của một đối tượng tính từ nhiều đối tượng khác nhau bằng một thuật toán gọi là phép đo tam giác (triangulation).
Tại một cuộc trình diễn ở hội nghị Shmoocon, ông Colby chỉ ra cách thức giúp ông sử dụng lỗ hổng để định vị tất cả người dùng của Grindr tại vùng Vịnh San Francisco, Mỹ, và những người đang ở tổ hợp Thế Vận hội Olympics Mùa đông Shochi, Nga. Liên hệ các dữ liệu định vị này với thông tin từ các mạng xã hội có thể dễ dàng xác định danh tính của một ai đó, ông nói.
Trong khi khai thác lỗ hổng không dễ dàng, các nhà nghiên cứu cho biết, có dấu hiệu cho thấy lỗ hổng đang bị lạm dụng ở Ai Cập (Egypt) để quấy rối những người dùng ứng dụng hẹn hò.
Ông nói Synack đã thông tin cho Grindr về điểm yếu sản phẩm để công ty cập nhật các phiên bản mới nhất các ứng dụng hẹn hò tại các quốc gia, nơi tình dục đồng giới bị coi là bất hợp pháp hoặc có lịch sử bạo lực với người đồng giới.
Ông cho biết thêm khá dễ dàng cho mọi người dừng chia sẻ địa điểm của mình nếu cảm thấy lo ngại về việc nó có thể bị lạm dụng.
Mặc kệ
Trong một phản hồi ngay sau khi vấn đề được nêu ra, Grindr nói họ không có kế hoạch thay đổi hệ thống tìm kiếm địa điểm tại các quốc gia đang sử dụng phần mềm Grindr vì đó là “chức năng cốt lõi” của dịch vụ thay vì xem nó là lỗ hổng an ninh.
Kết quả là, ông Moore trả lời báo mạng công nghệ Ars Technica, vấn đề vẫn tồn tại với những người dùng ngoài các quốc gia nơi tính năng chia sẻ địa điểm được gỡ bỏ.
“Chúng tôi có thể tái tạo kiểu tấn công này nhiều lần trên những tình nguyện viên mà không gặp trục trặc gì”, ông nói.
Ông cho rằng Grindr nên cố gắng hạn chế khả năng khai thác lỗ hổng bằng việc kiểm tra những ai đòi xin các thông tin địa điểm đến từ đâu và có thể dừng cung cấp ngay khi phát hiện những người đó có dấu hiệu lạm dụng. Bên cạnh đó, ông nói tiếp, Grindr có thể điều chỉnh để làm cho các dữ liệu định vị trở nên kém chính xác hơn nhằm giúp làm mờ phần nào vị trí của người dùng.
Post by Báo Tiền Phong.