افشای اطلاعات کاربران: اپلیکیشن دوستیابی Raw موقعیت و اطلاعات شخصی شما را لو داد!

اخیراً یک نقص امنیتی در اپلیکیشن دوستیابی Raw باعث افشای عمومی داده‌های شخصی و موقعیت‌های خصوصی کاربران شده است. این موضوع به‌طور جدی نگرانی‌های امنیتی را در مورد اپلیکیشن‌های دوستیابی افزایش داده است.

داده‌های افشا شده شامل نام‌های نمایشی کاربران، تاریخ‌های تولد، و ترجیحات دوستیابی و جنسی مرتبط با اپلیکیشن Raw بودند. همچنین، برخی از داده‌های موقعیت شامل مختصات دقیق بودند که به‌راحتی می‌توانستند کاربران را با دقت به سطح خیابان شناسایی کنند.

اپلیکیشن Raw که در سال 2023 راه‌اندازی شد، ادعا می‌کند که تعاملات واقعی‌تری را با دیگران فراهم می‌کند و این کار را با درخواست از کاربران برای بارگذاری عکس‌های سلفی روزانه انجام می‌دهد. هرچند شرکت تعداد کاربران خود را اعلام نکرده، اما فهرست اپلیکیشن در فروشگاه Google Play بیش از 500,000 بار دانلود برای اندروید را ثبت کرده است.

خبر این نقص امنیتی در هفته‌ای منتشر می‌شود که این استارتاپ از یک گسترش سخت‌افزاری جدید به نام Raw Ring رونمایی کرده است. این دستگاه پوشیدنی هنوز منتشر نشده، اما ادعا می‌شود که به کاربران اپلیکیشن این امکان را می‌دهد تا ضربان قلب و دیگر داده‌های حسگری شریک زندگی خود را پیگیری کنند و بینش‌های هوش مصنوعی برای شناسایی خیانت ارائه دهند.

با وجود مسائلی اخلاقی و معنوی که پیگیری شریک‌های عاطفی و ریسک‌های نظارت عاطفی به همراه دارد، Raw در وب‌سایت و سیاست حفظ حریم خصوصی خود ادعا می‌کند که اپلیکیشن و دستگاه منتشرنشده‌اش از رمزگذاری انتها به انتها استفاده می‌کنند. این ویژگی امنیتی از دسترسی هر کسی به داده‌ها، از جمله خود شرکت، جلوگیری می‌کند.

با این حال، زمانی که ما این اپلیکیشن را آزمایش کردیم، TechCrunch هیچ شواهدی از استفاده اپلیکیشن از رمزگذاری انتها به انتها پیدا نکرد. در عوض، ما متوجه شدیم که اپلیکیشن به‌طور عمومی داده‌های کاربرانش را به هر کسی با مرورگر وب افشا می‌کند.

Raw در روز چهارشنبه اقدام به رفع افشای داده‌ها کرد، بلافاصله پس از آنکه TechCrunch با جزئیات باگ به شرکت تماس گرفت.

مارینا اندرسون، یکی از بنیان‌گذاران اپلیکیشن Raw، به TechCrunch از طریق ایمیل گفت: “تمام نقاط افشای قبلی ایمن شده و ما اقدامات اضافی را برای جلوگیری از مشکلات مشابه در آینده اجرا کرده‌ایم.”

زمانی که TechCrunch از اندرسون پرسید، او تایید کرد که شرکت هیچ بررسی امنیتی از سوی شخص ثالث را برای اپلیکیشن خود انجام نداده است و افزود که “تمرکز ما بر روی ساخت یک محصول با کیفیت بالا و تعامل معنادار با جامعه در حال رشد ما است.”

اندerson به طور مشخص درباره اطلاع‌رسانی پیشگیرانه به کاربران آسیب‌دیده در مورد افشای اطلاعاتشان تعهدی نداد، اما گفت که شرکت “گزارش دقیقی به مقامات مربوطه حفاظت از داده‌ها تحت مقررات مربوطه ارائه خواهد کرد.”

هنوز مشخص نیست که اپلیکیشن به مدت چقدر داده‌های کاربرانش را به‌طور عمومی افشا کرده بود. اندرسون گفت که شرکت هنوز در حال بررسی این حادثه است.

در مورد ادعای خود مبنی بر استفاده از رمزگذاری انتها به انتها، اندرسون گفت: “Raw از رمزگذاری در حین انتقال استفاده کرده و کنترل‌های دسترسی برای داده‌های حساس در زیرساخت ما را اعمال می‌کند. مراحل بعدی پس از تحلیل دقیق وضعیت مشخص خواهد شد.”

اندرسون به سوالات درباره تغییر سیاست حفظ حریم خصوصی پاسخ نداد و به ایمیل پیگیری TechCrunch نیز پاسخی نداد.

چگونه ما داده‌های افشا شده را یافتیم

TechCrunch این باگ را در روز چهارشنبه در حین آزمایش کوتاه اپلیکیشن کشف کرد. به عنوان بخشی از آزمایش ما، اپلیکیشن دوستیابی Raw را بر روی یک دستگاه مجازی اندرویدی نصب کردیم که به ما اجازه می‌دهد بدون ارائه داده‌های واقعی، مانند موقعیت فیزیکی خود از اپلیکیشن استفاده کنیم.

ما یک حساب کاربری جدید با داده‌های جعلی مانند نام و تاریخ تولد ایجاد کردیم و موقعیت دستگاه مجازی خود را به گونه‌ای تنظیم کردیم که به نظر برسد در یک موزه در Mountain View، کالیفرنیا هستیم. زمانی که اپلیکیشن درخواست موقعیت دستگاه مجازی ما کرد، اجازه دادیم تا به موقعیت دقیق ما دسترسی پیدا کند.

ما از یک ابزار تحلیل ترافیک شبکه برای نظارت و بررسی داده‌های ورودی و خروجی اپلیکیشن Raw استفاده کردیم که به ما اجازه می‌دهد بفهمیم اپلیکیشن چگونه کار می‌کند و چه نوع داده‌هایی را درباره کاربرانش بارگذاری می‌کند.

TechCrunch در عرض چند دقیقه از استفاده از اپلیکیشن Raw، افشای داده‌ها را کشف کرد. وقتی اولین بار اپلیکیشن را بارگذاری کردیم، متوجه شدیم که اطلاعات پروفایل کاربر به‌طور مستقیم از سرورهای شرکت بارگذاری می‌شود، اما سرور هیچ محافظتی برای داده‌های برگشتی با هیچ گونه احراز هویت اعمال نکرده بود.

در عمل، این به این معنی بود که هر کسی می‌توانست به اطلاعات خصوصی هر کاربر دیگری دسترسی پیدا کند با استفاده از یک مرورگر وب و بازدید از آدرس وب سرور افشا شده — api.raw.app/users/ و سپس یک شماره یکتای 11 رقمی مربوط به کاربر دیگری. با تغییر ارقام به طوری که با شناسه 11 رقمی کاربر دیگری مطابقت داشته باشد، اطلاعات خصوصی مربوط به پروفایل آن کاربر، از جمله داده‌های موقعیت آنها، بازگردانده می‌شد.

این نوع آسیب‌پذیری به عنوان ارجاع مستقیم شی ناامن یا IDOR شناخته می‌شود، نوعی باگ که می‌تواند به کسی اجازه دهد به داده‌های سرور دیگران دسترسی پیدا کند یا آن را تغییر دهد به دلیل عدم وجود بررسی‌های امنیتی مناسب بر روی کاربری که به داده‌ها دسترسی پیدا می‌کند.

همان‌طور که قبلاً توضیح داده‌ایم، باگ‌های IDOR شبیه به داشتن کلید یک جعبه پستی خصوصی هستند، به عنوان مثال، اما آن کلید همچنین می‌تواند هر جعبه پستی دیگری در آن خیابان را باز کند. بنابراین، باگ‌های IDOR به راحتی قابل بهره‌برداری هستند و در برخی موارد می‌توانند شماره‌گذاری شوند و دسترسی به رکوردهای متعدد داده‌های کاربری را فراهم کنند.

آژانس امنیت سایبری ایالات متحده (CISA) به مدت طولانی درباره خطرات ناشی از باگ‌های IDOR هشدار داده است، از جمله توانایی دسترسی به داده‌های حساس معمولاً “در مقیاس بزرگ”. به عنوان بخشی از ابتکار “ایمن به طراحی”، CISA در یک مشاوره 2023 گفت که توسعه‌دهندگان باید اطمینان حاصل کنند که اپلیکیشن‌های خود بررسی‌های احراز هویت و مجوز مناسب را انجام می‌دهند.

از زمانی که Raw باگ را رفع کرد، سرور افشا شده دیگر اطلاعات کاربر را در مرورگر باز نمی‌گرداند.