Η εφαρμογή γνωριμιών Raw αποκαλύπτει δεδομένα χρηστών, συμπεριλαμβανομένης της τοποθεσίας και των σεξουαλικών προτιμήσεων

Μια ανεπεξέργαστη εφαρμογή διέρρευσε τις τοποθεσίες και τα προσωπικά δεδομένα των χρηστών λόγω μιας σοβαρής ασφαλιστικής ατέλειας, προκαλώντας ανησυχίες για τη νέα της συσκευή παρακολούθησης σχέσεων που ενεργοποιείται από την τεχνητή νοημοσύνη.

Ένα σοβαρό κενό ασφαλείας στην εφαρμογή γνωριμιών Raw αποκάλυψε τα προσωπικά και τα δεδομένα τοποθεσίας των χρηστών σε όποιον είχε πρόσβαση στο διαδίκτυο, όπως πρώτα αποκάλυψε το TechCrunch. Τα αποκαλυπτόμενα δεδομένα περιελάμβαναν τα ονόματα των χρηστών, τις ημερομηνίες γέννησης, τις σεξουαλικές προτιμήσεις, καθώς και τις ακριβείς συντεταγμένες GPS που επέτρεπαν την παρακολούθηση της τοποθεσίας μέχρι το επίπεδο της οδού.

Το Raw που ξεκίνησε το 2023, ξεπέρασε τις 500.000 λήψεις, ενώ ενθαρρύνει τους χρήστες να δημιουργήσουν αυθεντικές σχέσεις, απαιτώντας καθημερινές ανεβάσματα selfie.

Το TechCrunch σημειώνει ότι αυτή την εβδομάδα, η εταιρεία ανακοίνωσε επίσης ένα φορετό συσκευή, το Raw Ring, υποστηρίζοντας ότι μπορεί να παρακολουθεί τους καρδιακούς παλμούς ενός συντρόφου και να προσφέρει πληροφορίες που δημιουργούνται από AI, πιθανώς για να εντοπίσουν απιστία.

Παρά τις ισχυρισμούς για τη χρήση κρυπτογράφησης από άκρη σε άκρη, η TechCrunch δεν βρήκε τέτοιες προστασίες. Η ανάλυσή τους έδειξε ότι τα δεδομένα των χρηστών θα μπορούσαν να προσπελαστούν ελεύθερα μέσω ενός προγράμματος περιήγησης χρησιμοποιώντας μια γνωστή διεύθυνση ιστοσελίδας.

«Όλα τα προηγουμένως εκτεθειμένα σημεία έχουν ασφαλιστεί και έχουμε εφαρμόσει επιπλέον προφυλάξεις για να αποτρέψουμε παρόμοια προβλήματα στο μέλλον», είπε η συνιδρυτής της Raw, Marina Anderson, μέσω email στη TechCrunch.

Όταν ρωτήθηκε, η Anderson παραδέχτηκε ότι η εφαρμογή δεν έχει υποστεί καμία ανεξάρτητη επιθεώρηση ασφαλείας. Πρόσθεσε ότι η εταιρεία συνεχίζει τις έρευνες και θα «υποβάλει λεπτομερή έκθεση στις αρμόδιες αρχές προστασίας δεδομένων σύμφωνα με τους ισχύοντες κανονισμούς».

Ωστόσο, το TechCrunch σημειώνει ότι δεν επιβεβαίωσε εάν οι χρήστες θα ενημερωθούν ατομικά, ή αν θα ενημερωθεί η πολιτική απορρήτου.

Το TechCrunch εξηγεί ότι αυτού του είδους η ευπάθεια που βρέθηκε είναι γνωστή ως ανασφαλής άμεση αναφορά αντικειμένου (IDOR) – ένα συχνό αλλά επικίνδυνο σφάλμα. Αυτό συμβαίνει όταν η εφαρμογή χρησιμοποιεί εύκολα μαντεύσιμα αναγνωριστικά, όπως αριθμούς ή ονόματα αρχείων, για να ελέγξει την πρόσβαση στα δεδομένα.

Για παράδειγμα, εάν το προφίλ ενός χρήστη προσπελάσσεται από ένα URL με έναν αριθμό στο τέλος (όπως /profile/123), ένας επιτιθέμενος θα μπορούσε να αλλάξει αυτόν τον αριθμό για να δει το προφίλ κάποιου άλλου (π.χ., /profile/124). Χωρίς τους κατάλληλους ελέγχους ασφαλείας, μπορούν να εκμεταλλευτούν αυτό και να έχουν πρόσβαση ή να τροποποιήσουν δεδομένα στα οποία δεν θα έπρεπε να έχουν πρόσβαση.

Οι ερευνητές ασφαλείας στο TechCrunch ανίχνευσαν την ελαττωματικότητα μέσω ενός τεστ με προσομοιωμένα δεδομένα και τοποθεσία, το οποίο αποκάλυψε τη διαρροή μέσα σε λίγα λεπτά. Η ελαττωματικότητα επέτρεπε στους χρήστες να έχουν πρόσβαση σε προφίλ αλλάζοντας έναν μόνο αριθμό στη διεύθυνση της ιστοσελίδας της εφαρμογής πριν οι προγραμματιστές διορθώσουν το ζήτημα.

Παρά τη διόρθωση, παραμένουν ανησυχίες για τις πρακτικές δεδομένων της Raw και για το πιθανό ενδεχόμενο επιθετικής επιτήρησης από τη νέα της συσκευή.