Happn、Tinder、Grinder……基于位置的约会应用程序很有趣,而且呈上升趋势。然而,它们并不是真的没有对我们的隐私造成风险。根据定义,这些应用程序不断发送我们的位置以寻找灵魂伴侣。显然,只有应用程序服务器接收到这些数据,其他参与者则不会。因此,第三方无法追踪某人……至少在理论上是这样。因为只要有一些好主意和一点编程,事实证明这是完全可能的。
演示于 7 月 2 日星期六的会议期间进行黑客之夜 2016。 Synacktiv 公司的两名安全研究人员 Julien Legras 和 Julien Szlamowicz 开发了软件来检测特定区域中是否有人并监控他们的活动。如何?通过在该区域部署与目标人员的会议愿望相对应的用户代理网格,这将激活在线通知。
虚拟代理舰队
事实上,这些代理完全是虚拟的。要创建它们,你需要拥有一系列 Facebook 帐户,这并不是不可克服的。在这里,两位研究人员使用大约 15 个 Facebook 帐户来创建这些假用户。然后,该软件只需将定位请求发送到应用程序的服务器,以给人留下它们实际上位于这些位置的印象。然后,您所要做的就是等待目标靠近一个或多个这些代理(例如,Happn 应用程序为 250 m),以便将其捕获在这个临时监视网中。狩猎就可以开始了。
考虑到应用程序的作用范围,该位置不一定非常精确。但如果目标同时被三个智能体发现,则该区域可以在三个圆的交点处外接,也就是说相当于一个 13 米的小等边三角形(在 Happn 申请的情况下)例子)。当检测到目标时,软件将永久移动代理网格,将目标集中在这个小三角形上,从而能够以一定的精度跟踪它。
不适合大空间
那么,如何消除误报呢?也就是说,使用同一个应用、进入网格、相遇愿望相同的路人?再说一次,这很容易。“状态通知包含潜在遭遇的 Facebook ID。因此,只需添加一个过滤器以仅保留来自该标识符的通知 »”,朱利安·斯拉莫维奇解释道。此外,拥有目标的 Facebook ID 很简单:您只需访问以下网站即可查找我的fbid.com。
这个监控系统的创建只花了几天时间。“我们花了不到两天的时间来编写应用程序,精确的 Julien Szlamowicz。最长的部分是创建大约 15 个代理(创建 Facebook 帐户,然后在应用程序中激活)。第二天早上我们花了一小部分时间来做这件事。 »
显然,这种技术也有其局限性。它非常适合监控社区或公园,但除此之外就没有什么用了。例如,要覆盖巴黎,就需要一千名特工,而这个数字已经开始很大了。而覆盖法国则需要数百万美元,这完全是遥不可及的。这还不错。
