Dating-приложение WhosHere точно определяет геопозицию. Что делать?

Аналитики компании PentestPartners обнаружили уязвимость платной версии популярного приложения для знакомств WhosHere Plus, которая заключается в способе определения геопозиции пользователей. Программа вычисляет местоположение с точностью до нескольких метров, что может быть потенциально опасным. 

WhosHere Plus с помощью GPS вычисляет геолокацию устройств пользователей и отправляет координаты на серверы приложения, где используется способ трилатерации. За счет этого человека можно идентифицировать даже в оживленном потоке людей. Как выяснили специалисты PentestPartners, база данных WhosHere Plus не имеет достаточной защиты, поэтому сведущий в технологиях человек может получить и точное местоположение пользователя, и его данные. 

После обращения сотрудников PentestPartners в WhosHere разработчик дополнил защиту приложения, в том числе проверку сертификатов между серверами и устройствами, а также отказ сбора точной геопозиции. Однако на серверах принцип трилатерации по-прежнему работает, а значит узнать весьма точное местоположение все еще возможно. 

Как рассказал руководитель группы защиты инфраструктурных ИТ-компании «Газинформсервис» Сергей Полунин, пользователь может запретить любому приложению сбор данных о местоположении, но в таком случае использование программы, если логика работы приложения подразумевает работу с координатами, теряет смысл. 

«В случае с WhosHere Plus эти данные необходимы, что приложение просто работало. Другое дело, что геолокация – это очень чувствительные данные и разработчик должен позаботиться от безопасности этих сведений. Разработчики, кстати, приняли определенные меры – использовали SSL Pinning и функцию приблизительного местоположения для iOS и Android. Но SSL Pinning, конечно, может помочь при перехвате данных, но его можно обойти на конкретном устройстве, а вот функция приблизительного местоположения доступна не на всех устройствах, поэтому полагаться на нее тоже нельзя», – отмечает Полунин. 

Эксперт также рассказал, что само по себе определение местоположения не представляет опасности, однако вместе с другими сведениями о пользователе оно может стать важной частью таргетированной атаки. 

«Например, злоумышленник может организовать фишинговую рассылку и выманить у вас деньги на оплату какой-нибудь услуги. Для большей убедительности, зная ваше расположение, можно сделать форму ввода данных банковской карты в привычной вам валюте или в стиле знакомого банка», – добавляет Полунин.

Разработчик Дмитрий Иващенко отмечает, что некоторые приложения могут собирать данные о местоположении, даже когда функция геолокации отключена, однако можно минимизировать объем информации. Эксперт советует внимательно читать политику конфиденциальности приложений перед их установкой и использованием. Также пользователь может использовать VPN (Virtual Private Network), который помогает скрывать местоположение. При этом Иващенко отмечает, что полное прекращение сбора данных о местоположении может быть сложной задачей, поскольку многие службы и функции современных устройств зависят от этой информации.

Специалисты PentestPartners уже изучали подобные уязвимости. В прошлом году они вышли на сотрудников ВВС, которые писали о том, что египетская полиция преследует лиц, связанных с ЛГБТ, с помощью геоданных приложений для знакомств. 

Отметим, что по схожему принципу трилатерации работает метка Apple AirTag, которая уже не раз становилась «героем» скандалов – с ее помощью злоумышленники следили за знаменитостями, угоняли автомобили и обкрадывали дома, когда хозяев не было дома. 

Ранее Google анонсировала обновление сервиса «Find My Device», в котором добавится функция поддержки сторонних Bluetooth-трекеров и возможность высокоточного определения геопозиции.