デーティングアプリRawがユーザーデータを晒す、位置情報と性的嗜好を含む

大きなセキュリティ上の欠陥により、Rawアプリがユーザーの位置情報や個人データを漏洩させてしまいました。このことは、新たに導入されたAI搭載の関係性追跡デバイスに対する懸念を高めています。

デートアプリのRawに深刻なセキュリティ欠陥が存在し、ユーザーの個人情報や位置情報がオンライン上の誰にでも晒されていたことが、TechCrunchによって初めて明らかにされました。晒されたデータには、ユーザーの名前、生年月日、性的嗜好、そして正確なGPS座標が含まれており、これにより通りのレベルまでの位置追跡が可能となっていました。

2023年にローンチされたRawは、ユーザーに毎日のセルフィーのアップロードを求めることで、本物の関係を築くことを奨励しつつ、50万回以上のダウンロードを達成しました。

TechCrunchは今週、同社がウェアラブルデバイス、Raw Ringを発表したと報じています。これはパートナーの心拍数をモニターし、AIによる洞察を提供すると主張しています。これは、不誠実な行為を見つけ出す可能性があるとのことです。

エンドツーエンドの暗号化を使用しているとの主張にもかかわらず、TechCrunchはそのような保護が存在しないことを発見しました。彼らの分析によると、既知のウェブアドレスを使用したブラウザからユーザーデータに自由にアクセスできることが示されました。

「以前に露出したすべてのエンドポイントは確保され、私たちは将来同じような問題を防ぐための追加の保護措置を実装しました」と、Rawの共同創設者であるマリナ・アンダーソンさんがTechCrunch宛のメールで述べました。

質問された際、アンダーソンは、そのアプリが第三者によるセキュリティ監査を受けていないことを認めました。彼女はまた、会社はまだ調査を行っており、「適用される規制の下で、関連するデータ保護当局に詳細な報告を提出する」予定だと述べました。

しかし、TechCrunchは彼女がユーザーに個々に通知されるか、またはプライバシーポリシーが更新されるかどうかを確認しなかったことを指摘しています。

TechCrunchは、見つかったこのタイプの脆弱性を、不安全な直接オブジェクト参照（IDOR）と呼ぶと説明しています。これは一般的ですが、危険なバグです。これは、アプリが数値やファイル名のような簡単に推測できる識別子を使用して、データへのアクセスを制御するときに発生します。

例えば、ユーザーのプロフィールが最後に番号があるURL（/profile/123のような）でアクセスされると、攻撃者はその番号を変更して他の人のプロフィール（例えば、/profile/124）を表示することができます。適切なセキュリティチェックがなければ、彼らはこれを悪用して、本来アクセスすべきでないデータにアクセスしたり、それを変更したりすることができます。

TechCrunchのセキュリティ研究者たちは、シミュレートされたデータと位置情報を用いたテストを通じて、わずか数分でリークを明らかにする欠陥を検出しました。この欠陥により、開発者が問題を修正する前に、アプリケーションのウェブアドレスの単一の数値を変更することでユーザーがプロフィールにアクセスすることが可能となりました。

修正されたにも関わらず、Rawのデータ管理と新しいデバイスが侵害的な監視の可能性を持つことに対する懸念は依然として残っています。