Aplikasi kencan membutuhkan pengguna untuk memberikan informasi yang rentan – dan bukan hanya impian romantis seseorang. Kebanyakan waktu, aplikasi-aplikasi ini memerlukan data pribadi seperti nama, usia, dan lokasi Anda. Dalam kasus terakhir, sebuah makalah baru menjelaskan bahwa, untuk sementara waktu, beberapa aplikasi besar meninggalkan lokasi pengguna dapat terbuka oleh musuh potensial.
Kerentanan lokasi aplikasi kencan
Dalam sebuah makalah baru dari universitas Belgia KU Leuven, “Swipe Kiri untuk Pencurian Identitas,” para peneliti memaparkan risiko privasi potensial untuk 15 aplikasi kencan berbasis lokasi (LBDs) dengan setidaknya 10 juta unduhan. Saat ini, aplikasi kencan biasanya berbasis lokasi untuk membantu pengguna menemukan pasangan yang berada di dekat mereka secara fisik. Namun, dengan memerlukan lokasi, hal itu membuka pengguna untuk risiko potensial.
Semua aplikasi kecuali satu menggunakan jarak antara pengguna untuk mengukur lokasi. (Pengecualian itu, TanTan – sebuah aplikasi kencan Asia – menggunakan koordinat tepat sekali saat pencocokan, dan hanya jika mereka cocok.) “Namun, tanpa perlindungan yang memadai, ketersediaan jarak masih dapat menyebabkan inferensi lokasi pengguna,” kata makalah tersebut. “Ini dilakukan melalui trilaterasi.”
Trilaterasi adalah proses menentukan lokasi dengan mengukur jarak antara tiga segitiga (atau lingkaran, atau bola). Ada berbagai jenis trilaterasi yang digunakan aplikasi untuk menentukan lokasi. Para penulis – Karel Dhondt, Victor Le Pochat, Yana Dimova, Wouter Joosen, dan Stijn Volckaert – menemukan bahwa mereka dapat menentukan lokasi hampir tepat dalam enam dari 15 aplikasi, seperti dilaporkan oleh TechCrunch.
Aplikasi kencan mana yang memiliki kerentanan lokasi?
Kerentanan paling umum adalah melalui “trilaterasi orakel,” yang dijelaskan dalam makalah tersebut, “Musuh menggunakan orakel yang menunjukkan sinyal biner apakah korban berada dalam jarak dekat, yaitu, ketika mereka berada dalam ‘jarak dekat’ yang ditentukan dari penyerang.”
Hinge, Bumble, Badoo (yang dimiliki oleh Bumble), dan Hily rentan terhadap trilaterasi semacam itu.
Seorang juru bicara Hinge mengatakan kepada Mashable:
Mashable After Dark
Di Hinge, keamanan dan privasi pengguna kami selalu menjadi prioritas utama. Aplikasi kami dibangun dengan pendekatan privasi-by-design dan secara ketat melindungi data sensitif pengguna. Kami bangga dengan program hadiah bug berstandar tinggi dan dialog berkelanjutan kami dengan para peneliti, yang dirancang untuk menarik komentar sehingga kami dapat melakukan penyesuaian sebelum ada kerusakan yang terjadi pada pengguna kami. Kami meninjau umpan balik dari tim penelitian ini ketika kami menerimanya pada awal 2023 dan segera mengambil tindakan yang sesuai.
Seorang juru bicara Bumble mengatakan kepada TechCrunch dan Mashable, “Kami diberitahu temuan ini pada awal 2023, dan segera menyelesaikan masalah yang dijelaskan. Sebagai bisnis global dengan anggota di berbagai negara di seluruh dunia, kami berkomitmen untuk melindungi privasi pengguna kami dan telah mengadopsi pendekatan global untuk kepatuhan privasi.”
Pernyataan ini juga berlaku untuk Badoo, kata Bumble kepada Mashable.
Dmytro Kononov, CTO dan co-founder Hily, membagikan pernyataan ini kepada TechCrunch:
Temuan menunjukkan kemungkinan trilaterasi. Namun, dalam praktiknya, memanfaatkan ini untuk serangan tidak mungkin. Hal ini disebabkan oleh mekanisme internal kami yang dirancang untuk melindungi dari spammer dan logika algoritma pencarian kami…Meskipun demikian, kami terlibat dalam konsultasi ekstensif dengan para penulis laporan dan bersama-sama mengembangkan algoritma geocoding baru untuk sepenuhnya menghilangkan jenis serangan ini. Algoritma baru ini telah berhasil diimplementasikan selama lebih dari setahun sekarang.
Grindr rentan terhadap “trilaterasi jarak yang tepat.” Ini dapat dilakukan saat layanan mengungkapkan jarak yang tepat ke pengguna lain. Para penulis dapat menemukan lokasi pengguna hingga sejauh 111 meter (sekitar 364 kaki). Trilaterasi jarak yang tepat mungkin terjadi bahkan ketika jarak disembunyikan, seperti di Mesir di mana Grindr menyembunyikan semua lokasi pengguna untuk alasan keamanan.
“Kedekatan yang ditawarkan Grindr kepada komunitas ini sangat penting dalam memberikan kemampuan untuk berinteraksi dengan mereka yang berada di dekat mereka,” kata kepala petugas privasi Grindr Kelly Peterson Miranda kepada TechCrunch. “Seperti halnya dengan banyak jaringan sosial berbasis lokasi dan aplikasi kencan, Grindr memerlukan informasi lokasi tertentu untuk menghubungkan penggunanya dengan mereka yang berdekatan…Pengguna Grindr memiliki kendali atas informasi lokasi yang mereka berikan.”
Akhirnya, aplikasi happn rentan terhadap “trilaterasi jarak yang dibulatkan,” yang dapat dilakukan jika suatu aplikasi menggunakan lokasi yang dibulatkan sebagai tindakan pencegahan. CEO dan presiden happn, Karima Ben Abdelmalek, mengatakan kepada TechCrunch:
Setelah tinjauan oleh Chief Security Officer kami atas temuan penelitian, kami memiliki kesempatan untuk mendiskusikan metode trilaterasi dengan para peneliti. Namun, happn memiliki lapisan perlindungan tambahan selain hanya membulatkan jarak…Perlindungan tambahan ini tidak dipertimbangkan dalam analisis mereka dan kami sepakat bersama bahwa langkah tambahan ini pada happn membuat teknik trilaterasi tidak efektif.
Tampaknya untuk aplikasi dengan kerentanan ini, aplikasi mengambil langkah-langkah untuk menghentikan pelaku buruk dari menentukan lokasi pengguna menggunakan trilaterasi, kecuali Grindr.
Aplikasi kencan mana yang tidak rentan?
Menurut makalah tersebut, Tinder dan LOVOO menggunakan “grid snapping” untuk mencegah trilaterasi. Grid snapping adalah teknik membagi lokasi seseorang menjadi grid persegi. Koordinat (alias di mana pengguna berada) dipindahkan ke tengah kotak-kotak ini (Tinder) atau sisi kanan (LOVOO) dan jarak seseorang diukur dari sana. Oleh karena itu, jarak sebenarnya mereka tidak akurat dan tidak bisa ditrilaterasi.
Plenty of Fish dan Meetic tidak mengakses lokasi GPS. Sementara MeetMe, Tagged, dan OkCupid mengakses informasi ini, mereka mengonversinya ke kota terdekat. Para penulis tidak dapat membalik teknik yang mereka butuhkan untuk TanTan dan Jaumo, sehingga mereka tidak dapat menguji metode ini untuk menemukan lokasi pengguna.
Makalah tersebut menunjukkan pentingnya berhati-hati saat menggunakan aplikasi kencan. Seperti yang dijelaskan dalam makalah, “Kami berharap kesadaran yang kami bawa atas masalah-masalah ini akan mendorong penyedia aplikasi LBD untuk mempertimbangkan praktik pengumpulan data mereka, melindungi API mereka dari kebocoran data, mencegah inferensi lokasi, dan memberikan pengguna kontrol atas data mereka dan akhirnya privasi mereka.”