據(jù)外媒報(bào)道,最新研究表明�,熱門(mén)約會(huì)交友應(yīng)用Tinder目前仍缺乏必要的加密技術(shù)�,確保用戶(hù)照片���、滑動(dòng)操作和匹配信息的私密性����。
本周二����,以色列移動(dòng)應(yīng)用信息安全公司Checkmarx的研究人員指出,Tinder仍缺乏基本的HTTPS加密技術(shù)���。只要與Tinder用戶(hù)處于相同的WiFi網(wǎng)絡(luò)中��,研究人員就可以查看該用戶(hù)的任何照片��,甚至將其他照片注入到用戶(hù)的照片流中�。
此外�����,盡管Tinder的其他數(shù)據(jù)通過(guò)HTTPS技術(shù)進(jìn)行了加密���,但Checkmark發(fā)現(xiàn)����,Tinder泄露了足夠多的信息,從而讓黑客可以識(shí)別出加密命令�����,處于同一WiFi網(wǎng)絡(luò)的黑客可以很容易地查看用戶(hù)手機(jī)上的每一次滑動(dòng)操作和匹配����。研究人員認(rèn)為,缺乏保護(hù)機(jī)制將帶來(lái)許多問(wèn)題���,包括信息被偷窺��,以及可能的敲詐勒索�。
Checkmarx應(yīng)用信息安全研究經(jīng)理埃利澤·耶倫(Erez Yalon)表示:“我們可以準(zhǔn)確模擬用戶(hù)在屏幕上看到的東西�。你知道所有一切:他們?cè)诟墒裁矗麄兊男匀∠蚴鞘裁�,以及其他許多信息。”
為了展示Tinder的漏洞��,Checkmarx開(kāi)發(fā)了概念驗(yàn)證軟件TinderDrift�。如果將安裝該軟件的筆記本電腦連接至Tinder用戶(hù)所在的WiFi網(wǎng)絡(luò)�����,那么軟件就可以自動(dòng)重建整個(gè)會(huì)話(huà)。
TinderDrift利用的最主要漏洞在于��,Tinder缺少HTTPS加密機(jī)制���。該應(yīng)用通過(guò)不受保護(hù)的HTTP協(xié)議去傳輸圖片��,因此網(wǎng)絡(luò)上的任何人都可以很容易地竊取這些信息�����。此外����,研究人員還使用了額外的技巧��,從Tinder已加密的數(shù)據(jù)中提取信息�。
Checkmarx表示,已于11月通知Tinder這個(gè)問(wèn)題���,但問(wèn)題尚未解決�����。
Tinder發(fā)言人在回應(yīng)中稱(chēng):“與其他科技公司一樣�,我們?cè)谂c惡意黑客的斗爭(zhēng)中持續(xù)提升自己的防御能力。”他同時(shí)指出��,Tinder上的個(gè)人資料照片是公開(kāi)的����。(但基于這些照片的用戶(hù)互動(dòng),例如滑動(dòng)和匹配操作并不是��。)此外他還表示�,網(wǎng)頁(yè)版Tinder實(shí)際上已經(jīng)實(shí)現(xiàn)了HTTPS加密,而該公司計(jì)劃在更大的范圍內(nèi)應(yīng)用這項(xiàng)技術(shù)��。
他表示:“我們也嘗試在應(yīng)用中加密圖像���。不過(guò)��,我們不會(huì)進(jìn)一步透露所使用的信息安全工具���,或是我們即將部署的優(yōu)化的細(xì)節(jié),以免被黑客攻擊��。”
過(guò)去幾年,對(duì)所有重視隱私保護(hù)的應(yīng)用和網(wǎng)站來(lái)說(shuō)��,HTTPS已成為事實(shí)標(biāo)準(zhǔn)�����。Checkmarx的研究人員表示����,盡管加密在某些情況下會(huì)增加性能成本�����,但當(dāng)代服務(wù)器和手機(jī)可以輕松處理這些額外開(kāi)銷(xiāo)�����。耶倫指出:“現(xiàn)在沒(méi)有任何理由不使用HTTPS��。”
Checkmarx表示��,為了修復(fù)這些漏洞�,Tinder不僅應(yīng)當(dāng)對(duì)照片加密,還應(yīng)在應(yīng)用中“填充”其他命令�,讓每條命令看起來(lái)都是同樣大小��,使這些命令在隨機(jī)數(shù)據(jù)流中無(wú)法被識(shí)別�����。
鄂公網(wǎng)安備 42112402000149號(hào)