Yik Yak, en app som fungerar som en lokal anonym anslagstavla, gör det möjligt att hitta användarnas exakta platser och unika ID, Moderkort rapporterar. En forskare som analyserade Yik Yak-data kunde komma åt exakta GPS-koordinater för var inlägg och kommentarer kom ifrån, exakta inom 10 till 15 fot, och säger att han tog med sig hans fynd till företaget i april.
Yik Yak, som lanserades först 2013, var populärt på universitetsområden, där det ofta användes för att skvallra, posta uppdateringar och nätmobbning andra studenter. Efter avtagande relevans och misslyckade försök till innehållsmoderering stängdes appen ner 2017, bara för att återuppstå från de döda förra året. I november, sa företaget den hade passerat 2 miljoner användare.
Moderkort pratade med David Teather, en datavetenskapsstudent baserad i Madison, Wisconsin, som tog upp säkerhetsproblemen för Yik Yak och fortsatte med att publicera sina resultat i ett blogginlägg. Appen visar inlägg från användare i närheten men visar bara ungefärlig plats, till exempel “cirka 1 mil bort,” upp till fem mil, för att ge användarna en känsla av var i deras närliggande community uppdateringar kommer ifrån.
Även om Yik Yak lovar anonymitet, påpekar Teather att en kombination av GPS-koordinater och användar-ID kan avanonymisera användare och ta reda på var människor bor eftersom många sannolikt kommer att använda det hemifrån och data är korrekta till inom 10 till 15 fot. Den kombinationen av information kan användas för att förfölja eller titta på en viss person, och Teather nämner att risken kan vara högre för människor som bor på landsbygden där hemmen är mer än 10 till 15 fot ifrån varandra eftersom en GPS-plats kan begränsa en användare till en adress.
Som Moderkort rapporterar är uppgifterna tillgängliga för forskare som Teather, som vet hur man använder verktyg och skriver kod för att extrahera information – men risken var tillräckligt stor för att få Teather att uppmärksamma Yik Yaks på det.
Jag upptäckte det @YikYakApp exponerar miljontals användarplatser genom att skicka exakta GPS-koordinater för alla inlägg och kommentarer (exakta inom 10-15 fot) till appen, dessa kan skördas av illvilliga aktörer för att spåra användarnas platser.https://t.co/pgT809okv7
— David Teather (@david_teather) 9 maj 2022
“Eftersom användar-ID är beständiga är det möjligt att ta reda på en användares dagliga rutin för när och var de postar YikYaks från, detta kan användas för att ta reda på den dagliga rutinen för en viss YikYak-användare”, skriver Teather. Han listade andra sätt som data kan missbrukas på, som att ta reda på var någon bor, övervaka användare eller bryta sig in i någons hem när de inte är där.
Yik Yak svarade inte på en begäran om kommentar från Gränsen.
Enligt Moderkort, den senaste versionen av appen som släppts av Yik Yak avslöjar inte längre exakt plats och användar-ID, men Teather säger att han fortfarande kan hämta den informationen med hjälp av tidigare versioner av appen.
“Om YikYak tog detta på större allvar skulle de begränsa dessa fält från att returneras och bryta äldre versioner och tvinga användare att uppgradera till en nyare version av appen”, skrev han i blogginlägget.