国外某款火爆的交友软件被曝出了漏洞,五千万用户的配对详情遭泄露。“找不到对象是小事,个人隐私被曝光是大事。”
事件主角就是创办于2012年,活跃用户数已达五千万的交友软件Tinder,“搞事情”的是一家位于以色列的安全公司 Checkmarx,其研究人员发现尽管 Tinder 通过 HTTPS 技术对 APP 内用户资料数据进行了加密,却无法保证用户照片、滑动操作和匹配信息的私密性。
什么意思呢?
就是虽然个人信息那一栏的数据没有被泄露,但你设置的头像照片,以及今天喜欢了多少了小鲜肉或是美女,和谁进行了匹配都会被知道……
Checkmarx 安全研究主管 Erez Yalon 表示这一漏洞被利用后可掌握所有用户在 Tinder 的使用轨迹,甚至是个人性取向等许多私密信息,“我们可以完全模仿用户在他手机看到的画面。”。
具体来说,只要黑客与正在刷交友软件的用户使用同一个WiFi,就能轻易查看用户手机上的每次滑动操作和匹配,甚至还能将自己的照片插入配对排序。
此处围观群众发出半信半疑的嘘声……
Checkmarx 团队也不是吃素的,“不信?等着瞧。”
于是这票研究人员特地开发了一款名为“TinderDrift”的软件,只要接上其他 Tinder 用户正在使用的 Wi-Fi,就能在电脑上重建用户使用的情境。利用 Tinder 缺少 HTTPS 加密机制这一漏洞,TinderDrift可远程掌握用户浏览了谁的资料、喜欢了谁、与谁匹配的操作。
另外,即便是在加密模式下,对用户行为十分有执念的研究人员也可以通过识别不同操作指令的字节(bytes),判断用户行为。
比如,在 Tinder 向左滑拒绝对象的动作是 278 bytes、向右滑喜欢的动作是 374 bytes,如果双方配对成功的动作是 581 bytes。
万幸的是,黑客利用上述漏洞只能获取用户匹配过程中的信息,匹配之后双方的聊天则无法被获取。
Checkmarx 安全团队称其在 2017 年 11 月告知了 Tinder 存在的安全漏洞问题,但截至目前 Tinder 仍未修复这项漏洞。
Tinder 的发言人也做出了回应,称其一直在与黑客博弈,网页版的 Tinder 有加入 HTTPS 进行加密保护,而随后也会对手机 App 进行加密。
Checkmarx 的建议是不仅要加入HTTPS加密保护,更要修补配对过程的指令漏洞,起码让每条指令字节一致。另外在 Tinder 发布更新版本前,用户也要谨防泄露自己的交友行为。
黑客往往利用这一漏洞进行局域网中间人攻击,但这种攻击的必要条件是两者必须处在同一WiFi环境下,对攻击距离有一定限制,所以不必过于担心。毕竟隔壁住着黑客,这位黑客还对你的交友十分感兴趣的情况也属少见……
国内几家交友软件的画风与 Tinder 十分相似,比如某探,某翻,某blu……其是否会出现这种问题呢?