one of the as-yet-unreleased Raw wearable hardware rings.

Image Credits:RawImage Credits:TechCrunchImage Credits:TechCrunch

اپلیکیشن دوست‌یابی Raw داده‌های مکانی و اطلاعات شخصی کاربران را افشا کرد

اپلیکیشن دوست‌یابی Raw با وجود ادعای استفاده از رمزگذاری سرتاسری، داده‌های مربوط به ترجیحات دوستیابی و اطلاعات دقیق مکانی کاربران خود را به‌طور عمومی در وب فاش کرده بود.

۱۴۰۴/۰۲/۱۲

اپلیکیشن دوست‌یابی Raw داده‌های شخصی و مکانی کاربرانش را به دلیل نقص امنیتی افشا کرد. تک‌کرانچ این اشکال را کشف کرده و شرکت پس از اطلاع‌رسانی آن را برطرف کرده است.

به گزارش تک‌کرانچ، یک نقص امنیتی در اپلیکیشن دوست‌یابی Raw، داده‌های شخصی و اطلاعات مکانی خصوصی کاربران آن را به‌طور عمومی افشا کرده است.

داده‌های افشا شده شامل نام نمایشی کاربران، تاریخ تولد، ترجیحات دوستیابی مرتبط با اپلیکیشن Raw و همچنین موقعیت مکانی کاربران بوده است. بخشی از داده‌های مکانی شامل مختصاتی بود که برای یافتن کاربران اپلیکیشن Raw با دقت در سطح خیابان کافی بود.

Raw که در سال ۲۰۲۳ راه‌اندازی شد، یک اپلیکیشن دوست‌یابی است که ادعا می‌کند با درخواست از کاربران برای بارگذاری عکس‌های سلفی روزانه، تعاملات واقعی‌تری با دیگران ارائه می‌دهد. این شرکت تعداد کاربران خود را فاش نمی‌کند، اما فهرست اپلیکیشن در گوگل پلی استور بیش از ۵۰۰,۰۰۰ دانلود اندروید را تا به امروز نشان می‌دهد.

خبر این نقص امنیتی در همان هفته‌ای منتشر شد که استارتاپ از توسعه سخت‌افزاری اپلیکیشن دوست‌یابی خود، یعنی «حلقه Raw» (Raw Ring) خبر داد؛ یک دستگاه پوشیدنی منتشر نشده که ادعا می‌شود به کاربران اپلیکیشن اجازه می‌دهد ضربان قلب شریک خود و سایر داده‌های حسگر را برای دریافت بینش‌های تولید شده توسط هوش مصنوعی ردیابی کنند، ظاهراً برای تشخیص بی‌وفایی.

صرف نظر از مسائل اخلاقی و معنوی ردیابی شرکای عاطفی و خطرات نظارت احساسی، Raw در وب‌سایت و سیاست حفظ حریم خصوصی خود ادعا می‌کند که هم اپلیکیشن و هم دستگاه منتشر نشده آن، از «رمزگذاری سرتاسری» (end-to-end encryption) استفاده می‌کنند؛ یک ویژگی امنیتی که از دسترسی هر کسی غیر از کاربر - از جمله خود شرکت - به داده‌ها جلوگیری می‌کند.

هنگامی که این هفته اپلیکیشن را آزمایش کردیم، که شامل تحلیل ترافیک شبکه اپلیکیشن بود، تک‌کرانچ هیچ مدرکی دال بر استفاده اپلیکیشن از رمزگذاری سرتاسری پیدا نکرد. در عوض، دریافتیم که اپلیکیشن داده‌های مربوط به کاربرانش را به‌طور عمومی برای هر کسی که مرورگر وب دارد، فاش می‌کند.

Raw نقص افشای داده را روز چهارشنبه، مدت کوتاهی پس از تماس تک‌کرانچ با این شرکت و ارائه جزئیات اشکال، برطرف کرد.

مارینا اندرسون، هم‌بنیانگذار اپلیکیشن دوست‌یابی Raw، در ایمیلی به تک‌کرانچ گفت: «تمام نقاط پایانی که قبلاً در معرض دید بودند، ایمن شده‌اند و ما اقدامات حفاظتی بیشتری را برای جلوگیری از مسائل مشابه در آینده اجرا کرده‌ایم.»

اندرسون در پاسخ به سوال تک‌کرانچ تأیید کرد که این شرکت ممیزی امنیتی شخص ثالثی برای اپلیکیشن خود انجام نداده است و افزود که «تمرکز ما بر ساخت یک محصول با کیفیت بالا و تعامل معنادار با جامعه رو به رشد ما باقی می‌ماند.»

اندرسون متعهد نشد که به‌طور فعال به کاربران آسیب‌دیده مبنی بر افشای اطلاعاتشان اطلاع‌رسانی کند، اما گفت که شرکت «گزارش دقیقی را به مقامات مربوطه حفاظت از داده‌ها تحت مقررات قابل اجرا ارائه خواهد داد.»

هنوز مشخص نیست که اپلیکیشن چه مدت داده‌های کاربرانش را به‌طور عمومی افشا می‌کرده است. اندرسون گفت که شرکت همچنان در حال بررسی این حادثه است.

در مورد ادعای خود مبنی بر استفاده اپلیکیشن از رمزگذاری سرتاسری، اندرسون گفت Raw «از رمزگذاری در حین انتقال استفاده می‌کند و کنترل‌های دسترسی را برای داده‌های حساس در زیرساخت ما اعمال می‌کند. مراحل بیشتر پس از تجزیه و تحلیل کامل وضعیت مشخص خواهد شد.»

اندرسون در پاسخ به این سوال که آیا شرکت قصد دارد سیاست حفظ حریم خصوصی خود را تنظیم کند، پاسخی نداد و به ایمیل بعدی تک‌کرانچ نیز جوابی نداد.

تک‌کرانچ اشکال را روز چهارشنبه طی یک آزمایش کوتاه از اپلیکیشن کشف کرد. به عنوان بخشی از آزمایش ما، اپلیکیشن دوست‌یابی Raw را روی یک دستگاه اندروید مجازی نصب کردیم که به ما امکان می‌دهد از اپلیکیشن بدون ارائه داده‌های دنیای واقعی، مانند موقعیت فیزیکی، استفاده کنیم.

یک حساب کاربری جدید با داده‌های آزمایشی، مانند نام و تاریخ تولد، ایجاد کردیم و موقعیت دستگاه مجازی خود را طوری تنظیم کردیم که انگار در موزه‌ای در مانتین ویو، کالیفرنیا هستیم. هنگامی که اپلیکیشن درخواست موقعیت مکانی دستگاه مجازی ما را کرد، به اپلیکیشن اجازه دسترسی به موقعیت دقیق خود را تا چند متر دادیم.

از یک ابزار تحلیل ترافیک شبکه برای نظارت و بازرسی داده‌های ورودی و خروجی اپلیکیشن Raw استفاده کردیم که به ما امکان داد بفهمیم اپلیکیشن چگونه کار می‌کند و چه نوع داده‌هایی را درباره کاربران خود بارگذاری می‌کند.

تک‌کرانچ افشای داده‌ها را طی چند دقیقه پس از استفاده از اپلیکیشن Raw کشف کرد. هنگامی که برای اولین بار اپلیکیشن را بارگذاری کردیم، دریافتیم که اطلاعات پروفایل کاربر را مستقیماً از سرورهای شرکت می‌کشد، اما سرور داده‌های بازگردانده شده را با هیچ احراز هویت (authentication)ی محافظت نمی‌کند.

در عمل، این به این معنی بود که هر کسی می‌توانست با استفاده از یک مرورگر وب، به اطلاعات خصوصی هر کاربر دیگری دسترسی پیدا کند؛ کافی بود به آدرس وب سرور در معرض دید مراجعه کند — api.raw.app/users/ و سپس یک عدد ۱۱ رقمی منحصر به فرد که مربوط به کاربر دیگری است را وارد کند. تغییر ارقام برای مطابقت با شناسه ۱۱ رقمی هر کاربر دیگری، اطلاعات خصوصی از پروفایل آن کاربر، از جمله داده‌های موقعیت مکانی او را باز می‌گرداند.

این نوع آسیب‌پذیری به عنوان «ارجاع مستقیم شیء ناامن» (Insecure Direct Object Reference) یا IDOR شناخته می‌شود؛ نوعی اشکال که به دلیل عدم بررسی‌های امنیتی مناسب در کاربری که به داده‌ها دسترسی پیدا می‌کند، می‌تواند به کسی اجازه دسترسی یا تغییر داده‌ها در سرور شخص دیگری را بدهد.

همانطور که قبلاً توضیح داده‌ایم، اشکالات IDOR شبیه داشتن کلیدی برای یک صندوق پستی خصوصی است، اما آن کلید می‌تواند تمام صندوق‌های پستی دیگر در همان خیابان را نیز باز کند. به این ترتیب، اشکالات IDOR می‌توانند به راحتی مورد سوء استفاده قرار گیرند و در برخی موارد قابل شمارش هستند و امکان دسترسی به سوابق متعدد داده‌های کاربر را فراهم می‌کنند.

آژانس امنیت سایبری ایالات متحده (CISA) مدت‌هاست در مورد خطراتی که اشکالات IDOR ایجاد می‌کنند، از جمله توانایی دسترسی به داده‌های معمولاً حساس «در مقیاس بالا»، هشدار داده است. به عنوان بخشی از ابتکار «طراحی ایمن» (Secure By Design) خود، CISA در یک اطلاعیه در سال ۲۰۲۳ اعلام کرد که توسعه‌دهندگان باید اطمینان حاصل کنند که اپلیکیشن‌هایشان بررسی‌های مناسب احراز هویت و مجوز (authorization) را انجام می‌دهند.

از زمانی که Raw اشکال را برطرف کرد، سرور در معرض دید دیگر داده‌های کاربر را در مرورگر باز نمی‌گرداند.

منبع: تک‌کرانچ