2019年08月09日 21時00分 セキュリティ

「3P・スワッピング愛好者向け」出会い系アプリから位置情報や個人情報が簡単に入手可能だったと判明

by Valeria Boltneva



男女の出会いをサポートする出会い系アプリはしばしばセキュリティの問題が指摘されており、過去には世界最大級の既婚者向けSNS・アシュレイ・マディソンから約3700万人の個人情報が流出するという事件も発生しています。そして新たにセキュリティサービス企業のPen Test Partnersが、「3Pや恋人のスワッピング愛好者向け」の出会い系アプリから、ユーザーの位置情報や個人情報が簡単に入手できてしまったと報告しました。



Group sex app leaks locations, pics and personal details. Identifies users in White House and Supreme Court | Pen Test Partners

https://www.pentestpartners.com/security-blog/group-sex-app-leaks-locations-pictures-and-other-personal-details-identifies-users-in-white-house-and-supreme-court/



Pen Test Partnersが調査したのは「3fun」という出会い系アプリ。iOS版やAndroid版アプリをインストールすることで、付近に住む3Pやスワッピングに興味のある相手を探すことができるという触れ込みとなっており、トランスジェンダーやゲイ、バイセクシュアルのユーザーであっても利用可能とのこと。3funは全世界で150万人のユーザーが登録していると発表しており、ニューヨークやロサンゼルス、シカゴ、ワシントンD.C.などに多くのユーザーがいると説明しています。



3funではユーザーの位置情報が利用されており、近隣に住む相手を探すことができます。3funに限らず、ゲイの男性向け出会い系アプリのGrindrをはじめとするいくつかの出会い系アプリでは、ユーザー同士の位置情報を表示するためにスマートフォンのGPS機能を使用しています。ところが3funではGPS機能を用いた位置情報特定を行っておらず、スマートフォンからユーザーがいる位置の「緯度と経度」をそのまま送信させて、ユーザーの居場所を特定しているそうです。



by rawpixel.com



Pen Test Partnersはこのシステムについて、GPSを利用した位置特定よりも格段にセキュリティ上の危険があると指摘。さらに問題なことに、3funのユーザーはアプリから位置情報のオン/オフを制御できるとされていますが、このフィルタリングはあくまでもアプリ上でのみ動作するとのこと。つまり、位置情報設定をオフにしてもスマートフォンからの位置情報自体は3funのサーバーに送られており、モバイルアプリのインターフェース上で表示されないだけとなっています。



このサーバー上に蓄積されたユーザーの位置情報を、APIを介して入手できてしまう問題を発見したとPen Test Partnersは公表しました。イギリスに存在するユーザーの位置情報を表した画像がこれ。





ロンドン市内など、さらに詳細な位置情報も知ることが可能。





ワシントンD.C.のユーザー状況はこんな感じです。





ホワイトハウスのド真ん中にもユーザーがいました。ただし、技術的にはサーバーに送信する位置情報を改ざんすることは可能であるため、誰かがジョークとして権力者を装った可能性はあります。





アメリカ合衆国最高裁判所にいるユーザーなども発見できたとのこと。





また、サーバーから入手できたデータは位置情報にとどまらず、ユーザー個人の特定を容易にする生年月日が含まれたデータを入手することもできる模様。位置情報と生年月日を組み合わせることで、かなりの精度で個人を突き止めることができてしまいます。





さらにAPIを利用することで、プライバシー設定によりアプリからのアクセスを拒否している写真データを入手できてしまうとのこと。Pen Test Partnersは「3funのアプリとAPIには多くの脆弱性が存在し、今回発見したもの以上に山ほどの問題があるだろう」と考えていますが、とても全ての問題を検証することは不可能だと述べています。なお、入手できたユーザーの性別や性的指向をもとに「異性愛者の男女比」を調査したところ、異性愛者の男性とストレートの女性は4：1の割合となっていたそうです。



2019年7月1日にPen Test Partnersは3funにセキュリティ上の問題を報告し、修正するように依頼したとのこと。3funは迅速に対処して問題を解決したそうですが、非常に長い期間にわたりユーザーの個人情報が危険にさらされていたことは残念だとPen Test Partnersは述べました。



by Pixabay

