時間:2017-10-26 來源:互聯網 瀏覽量:
卡巴斯基實驗室的安全研究人員透露,一些受歡迎的交友軟件容易受到各種攻擊,這將可以泄露個人用戶的詳細信息,包括姓名,雇主姓名,甚至他們的住所信息。研究人員在對受歡迎的交友軟件(Tinder,Bumble,OkCupid,Badoo,Mamba,Zoosk,Happn,WeChat和Paktor)進行調查後,根據個人資料中提供的數據,確定了用戶的真實身份。
另外通過了解用戶的雇主,研究領域或他們的學校,可以找到用戶的社交媒體帳戶,從而知道他們的真實姓名。
卡巴斯基表示,他們在其他社交媒體網站上識別Happn和Paktor用戶的準確率為100%。Tinder和Bumble的成功率分別下降到60%和50%,這仍然相當驚人。上述九個應用程序中的六個顯示了用戶的某種形式的位置數據,例如用戶和他們感興趣的人之間的距離。通過移動並記錄兩個用戶之間的距離數據,“很容易確定獵物的位置”。
Happn的表現似乎是最糟糕的,能顯示與其他用戶的具體距離數據。該應用程序甚至顯示了兩個人擦肩而過的次數,使其更容易跟蹤某人。
卡巴斯基調查的大部分應用程序都是通過SSL加密渠道查詢將數據傳輸到 服務器 ,但並不總是如此。在Android版本的Mamba中使用的分析模型不會加密有關移動設備的數據,而iOS版本以一種一個未加密的方式傳輸消息等所有數據。同時,通過HTTP上傳照片,可以讓攻擊者確定潛在的受害者瀏覽哪些個人資料。
更糟糕的是,研究人員發現,九個應用程序中有五個易受“中間人攻擊”,因為它們沒有驗證證書的真實性。幾乎所有的應用程序通過Facebook授權,意味著缺乏證書驗證可能導致竊取臨時授權密鑰。卡巴斯基表示,這可以讓社會媒體賬戶數據的犯罪訪問長達三周左右。
Android用戶需要擔心更多,因為九個應用程序中有八個“通過超級用戶訪問權限為網絡犯罪分子提供了太多信息”。在iOS中獲得root訪問權限的惡意軟件很少見。
卡巴斯基表示,其事先向開發人員通報了其調查結果,並補充說,有些已經解決了問題,而其他仍在修複問題。